Ingegneria software security

1

Durante la creazione dell'account, è meglio generare la password automaticamente e inviarla all'utente o consentire all'utente di creare la propria password?

Questa domanda è emersa oggi mentre discutevamo con un collega della pagina "crea account" per il sito Web su cui stiamo lavorando. L'opinione del mio collega è che dovremmo rendere la registrazione il più veloce e semplice possibile, quindi dovremmo semplicemente chiedere all'utente la sua e-mail e prendersi cura di …

11 security passwords

3

In che modo le applicazioni desktop comunicavano con il server remoto prima dei servizi Web?

Non ho molta esperienza con le applicazioni desktop, ma se dovessi creare un'app desktop del server client, l'accesso ai dati verrebbe effettuato tramite un servizio web. Credo che l'accesso ai dati tramite un servizio web offra sicurezza - Non ho bisogno di inserire il nome utente e la password del …

11 programming-practices security

3

Archiviazione sicura di dati segreti in un'applicazione Web sul lato client

Ho questa applicazione web che sarà tutta la tecnologia lato client (HTML, CSS, JavaScript / AngularJS, ecc ...). Questa applicazione web interagirà con l'API REST per accedere e modificare i dati. Al momento è indeciso su quale tipo di sistema di autenticazione utilizzerà l'API REST. Da quanto ho capito, qualsiasi …

11 web-development security

10

Le restrizioni di sicurezza dovrebbero rendere un servizio nullo o generare un'eccezione? [chiuso]

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post . Chiuso 4 anni fa . Sono un po 'in disaccordo con uno sviluppatore più esperto su …

11 java security exceptions null

7

Quali informazioni non devono mai apparire nei registri? [chiuso]

Chiuso . Questa domanda deve essere più focalizzata . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si concentri su un problema solo modificando questo post . Chiuso 4 anni fa . Sto per scrivere le linee guida dell'azienda su ciò che non …

11 security information

5

Consenti agli utenti amministratori di accedere come altri utenti

Pensi che sia una buona pratica implementare una possibilità per consentire a un utente amministratore di accedere come un altro utente, ignorando la password? Questo potrebbe essere implementato da una password principale o da una funzione all'interno dell'amministrazione utenti, "Accedi come questo utente". Gli amministratori chiedono che tale funzione sia …

11 security problem-solving

2

Il mascheramento è davvero necessario quando si invia dal client Websocket

L'attuale RFC Websocket richiede che i client websocket mascherino tutti i dati all'interno dei frame durante l'invio (ma non è richiesto al server). Il motivo per cui il protocollo è stato progettato in questo modo è impedire che i dati dei frame vengano alterati da servizi dannosi tra client e …

10 security protocol websockets

7

L'uso dei condizionali di sicurezza in una vista è una violazione di MVC?

Spesso ciò che viene visualizzato a un utente (ad es. Su una pagina Web) si basa in parte su controlli di sicurezza. Di solito considero la sicurezza a livello di utente / ACL come parte della logica aziendale di un sistema. Se una vista verifica esplicitamente la sicurezza per visualizzare …

10 web-development design-patterns security mvc

5

Quali sono gli aspetti unici di un ciclo di vita del software di un attacco / strumento su una vulnerabilità del software?

Nella mia università locale, c'è un piccolo club di informatica per studenti di circa 20 studenti. Il club ha diversi piccoli team con specifiche aree di interesse, come sviluppo mobile, robotica, sviluppo di giochi e hacking / sicurezza. Sto introducendo alcuni concetti di sviluppo agili di base a un paio …

10 development-process security hacking sdlc

3

Flusso OAuth2: il server convalida con il server Auth?

Ho letto molto su OAuth2 cercando di aggirarmi, ma sono ancora confuso su qualcosa. Comprendo che il client autorizza con il provider OAuth (ad esempio Google) e consente al Resource Server di avere accesso ai dati del profilo dell'utente. Quindi il client può inviare il token di accesso al server …

10 security oauth2

2

Debolezze di 3-Strike Security

Ho letto alcune pubblicazioni sulla sicurezza, in particolare la sicurezza / crittografia delle password, e c'è stata una cosa che mi chiedevo: la regola dei 3 strike è una soluzione perfetta per la sicurezza delle password? Cioè, se il numero di tentativi di password è limitato a un piccolo numero, …

10 security

2

Come posso impedire ai programmatori di acquisire i dati inseriti dagli utenti?

Sto sviluppando un'applicazione web con una forte attenzione alla sicurezza. Quali misure possono essere adottate per impedire a coloro che lavorano sull'applicazione (programmatori, amministratori di database, personale addetto all'assicurazione della qualità) di acquisire valori immessi dall'utente che dovrebbero essere ben protetti, come password, numeri di previdenza sociale e così via?

10 security

4

Gli sviluppatori potrebbero imparare qualcosa dallo studio del malware? [chiuso]

Chiuso. Questa domanda è fuori tema . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che sia in argomento per Software Engineering Stack Exchange. Chiuso 4 anni fa . Il malware utilizza tecniche interessanti per nascondersi da software anti-malware e altro ancora. Possono "polimorfizzare" …

10 learning security

3

Cosa fanno i programmatori delle società di sicurezza?

Ho sentito parlare di società di sicurezza che si consultano sulla sicurezza dei sistemi di un cliente. Tutte le persone che conosco in questo campo sono ingegneri di rete, ma so che anche i programmatori sono coinvolti nella sicurezza. Cosa fanno realmente i programmatori di sicurezza che eseguono audit / …

10 security freelancing

2

Come evitare l'uso non autorizzato di un'API?

Devo progettare un "widget", uno script che i partner inseriranno nei loro siti Web per visualizzare alcune UI ed effettuare chiamate alla nostra API. Fondamentalmente mostrerà i nostri dati su questi siti in base ad alcuni ID che forniscono nelle nostre chiamate API. Quello che vorremmo evitare è qualcuno che …

10 security api-design web-api

Domande taggate «security»