คำถามติดแท็ก security

ฉันสงสัยเกี่ยวกับความปลอดภัยของค่ากำหนดที่ใช้ร่วมกัน เป็นไปได้หรือไม่ที่จะเข้าถึงการกำหนดลักษณะที่ใช้ร่วมกันแม้ว่าจะสร้างขึ้นใน MODE_PRIV (0) เป็นไปได้ไหมที่จะแสดงรายการค่ากำหนดที่ใช้ร่วมกันทั้งหมดจากนั้นดึงการตั้งค่าทั้งหมดจากแอปอื่น ๆ sharedpreferences เป็นสถานที่ที่ดีในการใส่ข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านหรือโทเค็นรับรองความถูกต้องหรือไม่ ขอบคุณ

118 android  security  sharedpreferences 

เป็นไปได้หรือไม่ที่จะป้องกันการบันทึกหน้าจอในแอปพลิเคชัน Android ฉันต้องการพัฒนาแอปพลิเคชันที่ปลอดภัยของ Android ในนั้นฉันจำเป็นต้องตรวจจับซอฟต์แวร์บันทึกหน้าจอที่ทำงานอยู่เบื้องหลังและฆ่าพวกมัน ฉันใช้ SECURE FLAG เพื่อป้องกันภาพหน้าจอ แต่ฉันไม่รู้ว่าเป็นไปได้หรือไม่ที่จะป้องกันการจับภาพวิดีโอของหน้าจอ Android ด้วย แจ้งให้เราทราบวิธีป้องกันการจับภาพหน้าจอ (วิดีโอ / ภาพหน้าจอ)

118 android  security  screenshot  snapshot  screen-capture 

ฉันต้องการเก็บแฮชของรหัสผ่านไว้ในโทรศัพท์ แต่ไม่แน่ใจว่าต้องทำอย่างไร ดูเหมือนฉันจะพบวิธีการเข้ารหัสเท่านั้น ควรแฮชรหัสผ่านอย่างไรให้ถูกต้อง?

117 c#  security  hash  passwords  windows-phone-7 

คำถามในวันนี้ก่อนหน้านี้ถูกถามเกี่ยวกับกลยุทธ์การเข้าตรวจสอบในเว็บแอป คำตอบด้านบนในขณะที่เขียนแสดงให้เห็นในPHPเพียงแค่ใช้และhtmlspecialcharsmysql_real_escape_string คำถามของฉันคือเพียงพอหรือไม่? มีอะไรมากกว่านี้ที่เราควรรู้? ฟังก์ชันเหล่านี้พังตรงไหน?

116 php  security  xss  sql-injection 

หากในหน้าจอเข้าสู่ระบบผู้ใช้ส่งแบบฟอร์มพร้อมชื่อผู้ใช้และรหัสผ่านของเขารหัสผ่านจะถูกส่งเป็นข้อความธรรมดา (แม้จะมี POST ก็ตามโปรดแก้ไขฉันหากฉันผิด) คำถามคือวิธีที่ถูกต้องในการปกป้องผู้ใช้และรหัสผ่านของเขาจากบุคคลที่สามที่อาจแอบดักฟังข้อมูลการสื่อสารคืออะไร? ฉันทราบว่า HTTPS สามารถแก้ไขปัญหาได้ แต่มีวิธีใดบ้างที่จะทำให้มั่นใจได้ว่าอย่างน้อยระดับความปลอดภัยโดยใช้โปรโตคอล HTTP มาตรฐาน (คำขอ POST) (อาจใช้จาวาสคริปต์ไม่ทางใดก็ทางหนึ่ง) แก้ไข ฉันอาจทิ้งสิ่งสำคัญบางอย่างไป สิ่งที่ฉันเกี่ยวกับคือหน้านั่นคือหน้าเข้าสู่ระบบที่สร้างโดย PHP ซึ่งแน่นอนว่าส่งถึงผู้ใช้ในคำขอ HTTP GET เป็นไฟล์ HTML ไม่มีการเชื่อมต่อ (@Jeremy Powel) ระหว่างเซิร์ฟเวอร์และไคลเอนต์ดังนั้นฉันจึงไม่สามารถสร้างโปรโตคอลการจับมือดังกล่าวได้ และฉันต้องการให้กระบวนการทั้งหมดมีความโปร่งใสสำหรับผู้ใช้ - เขาต้องการส่งรหัสผ่านไม่ใช่จัดการกับการเข้ารหัส ขอบคุณ

115 security  http  encryption  passwords  plaintext 

จากการดูไฟล์java.securityของฉันJREฉันเห็นว่าประเภทที่เก็บคีย์ที่จะใช้โดยค่าเริ่มต้นถูกตั้งค่าเป็นJKS. ที่นี่มีรายการประเภทที่เก็บคีย์ที่สามารถใช้ได้ มีประเภทที่เก็บคีย์ที่แนะนำหรือไม่? อะไรคือข้อดี / ข้อเสียของที่เก็บคีย์ประเภทต่างๆ

115 java  security  ssl  jsse 

ฉันได้รับข้อผิดพลาดต่อไปนี้: XMLHttpRequest cannot load file:///C:/Users/richa.agiwal/Desktop/get/rm_Library/templates/template_viewSettings.html. Cross origin requests are only supported for HTTP. ฉันรู้ว่าคำถามนี้ได้รับคำตอบมาก่อน แต่ฉันยังไม่พบวิธีแก้ปัญหาของฉัน ฉันพยายามเรียกใช้chrome.exe --allow-file-access-from-filesจากพรอมต์คำสั่งและย้ายไฟล์ไปยังระบบไฟล์ภายในเครื่อง แต่ฉันยังคงได้รับข้อผิดพลาดเหมือนเดิม ขอขอบคุณข้อเสนอแนะใด ๆ !

113 security  google-chrome 

ฉันได้รับข้อผิดพลาดเดิมทุกครั้งที่ฉันทดสอบใหม่URLจากแถบที่อยู่ของเบราว์เซอร์เมื่อฉันreturning Json(ใช้งานในตัวMVC JsonResult helper): คำขอนี้ถูกบล็อกเนื่องจากอาจมีการเปิดเผยข้อมูลที่ละเอียดอ่อนไปยังเว็บไซต์ของบุคคลที่สามเมื่อใช้สิ่งนี้ในไฟล์GET request. ในการอนุญาตให้GET requestsชุดที่จะJsonRequestBehaviorAllowGet แทนที่จะฮึดฮัดในการรับทราบและกระตุ้นให้ Fiddler ทำคำขอโพสต์คราวนี้ฉันสงสัยว่าGETคำขอนั้นคืออะไรที่เปิดเผยว่าPOSTคำขอนั้นไม่?

112 asp.net-mvc  json  security  http-post  http-get 

ฉันทำงานกับแอพบางตัวในราง django (และ php เล็กน้อย) และหนึ่งในสิ่งที่ฉันเริ่มทำในบางแอพคือการจัดเก็บฐานข้อมูลและรหัสผ่านอื่น ๆ เป็นตัวแปรสภาพแวดล้อมแทนที่จะเป็นข้อความธรรมดาในไฟล์กำหนดค่าบางไฟล์ ( หรือใน settings.py สำหรับแอป django) ในการพูดคุยเรื่องนี้กับผู้ทำงานร่วมกันคนหนึ่งของฉันเขาแนะนำว่านี่เป็นแนวทางปฏิบัติที่ไม่ดีซึ่งบางทีอาจจะไม่ปลอดภัยเท่าที่ควรในตอนแรก ดังนั้นฉันต้องการทราบ - นี่เป็นแนวทางปฏิบัติที่ปลอดภัยหรือไม่? การจัดเก็บรหัสผ่านเป็นข้อความธรรมดาในไฟล์เหล่านี้ปลอดภัยกว่าหรือไม่ (แน่นอนว่าอย่าทิ้งไฟล์เหล่านี้ไว้ใน repos สาธารณะหรืออะไรก็ตาม)

112 ruby-on-rails  django  security  passwords  environment-variables 

ปิด . คำถามนี้เป็นคำถามความคิดเห็นตาม ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบได้ด้วยข้อเท็จจริงและการอ้างอิงโดยแก้ไขโพสต์นี้ ปิดให้บริการเมื่อปีที่แล้ว ปรับปรุงคำถามนี้ (เกิดจากหัวข้อนี้ตั้งแต่นี้เป็นจริงคำถามที่เฉพาะเจาะจงของตัวเองและไม่ให้ NodeJS ฯลฯ ) ฉันกำลังใช้เซิร์ฟเวอร์ REST API ด้วยการพิสูจน์ตัวตนและฉันได้ใช้การจัดการโทเค็น JWT สำเร็จแล้วเพื่อให้ผู้ใช้สามารถเข้าสู่ระบบผ่านปลายทาง / login ด้วยชื่อผู้ใช้ / รหัสผ่านซึ่งโทเค็น JWT ถูกสร้างขึ้นจากความลับของเซิร์ฟเวอร์และส่งกลับไปที่ ลูกค้า. จากนั้นโทเค็นจะถูกส่งผ่านจากไคลเอนต์ไปยังเซิร์ฟเวอร์ในแต่ละคำขอ API ที่พิสูจน์ตัวตนซึ่งใช้ความลับของเซิร์ฟเวอร์เพื่อตรวจสอบโทเค็น อย่างไรก็ตามฉันพยายามทำความเข้าใจแนวทางปฏิบัติที่ดีที่สุดว่าควรตรวจสอบโทเค็นอย่างไรและเพียงใดเพื่อสร้างระบบที่ปลอดภัยอย่างแท้จริง สิ่งที่ควรเกี่ยวข้องในการ "ตรวจสอบ" โทเค็นหรือไม่ เพียงพอหรือไม่ที่สามารถตรวจสอบลายเซ็นโดยใช้ความลับของเซิร์ฟเวอร์ได้หรือฉันควรตรวจสอบโทเค็นและ / หรือเพย์โหลดโทเค็นกับข้อมูลบางอย่างที่เก็บไว้ในเซิร์ฟเวอร์ ระบบตรวจสอบความถูกต้องโดยใช้โทเค็นจะปลอดภัยพอ ๆ กับการส่งชื่อผู้ใช้ / รหัสผ่านในแต่ละคำขอโดยมีเงื่อนไขว่าจะได้รับโทเค็นเท่ากันหรือยากกว่าการได้รับรหัสผ่านของผู้ใช้ อย่างไรก็ตามในตัวอย่างที่ฉันเห็นข้อมูลเดียวที่จำเป็นในการสร้างโทเค็นคือชื่อผู้ใช้และความลับฝั่งเซิร์ฟเวอร์ นี่ไม่ได้หมายความว่าสมมติว่าผู้ใช้ที่เป็นอันตรายได้รับความรู้เกี่ยวกับความลับของเซิร์ฟเวอร์เป็นเวลาหนึ่งนาทีตอนนี้เขาสามารถสร้างโทเค็นในนามของผู้ใช้รายใดก็ได้ดังนั้นการเข้าถึงไม่เพียง แต่ให้กับผู้ใช้ที่ได้รับรายเดียวตามความเป็นจริงถ้ารหัสผ่านคือ ได้รับ แต่ในความเป็นจริงสำหรับบัญชีผู้ใช้ทั้งหมด ? สิ่งนี้นำฉันไปสู่คำถาม: 1) การตรวจสอบโทเค็น …

111 security  authentication  token  jwt  secret-key 

ตอนนี้ฉันเป็นนักเรียนและฉันกำลังเรียน PHP ฉันกำลังพยายามเข้ารหัส / ถอดรหัสข้อมูลง่ายๆใน PHP ฉันทำการค้นคว้าทางออนไลน์และบางส่วนก็ค่อนข้างสับสน (อย่างน้อยก็สำหรับฉัน) นี่คือสิ่งที่ฉันพยายามทำ: ฉันมีตารางที่ประกอบด้วยฟิลด์เหล่านี้(UserID, Fname, Lname, Email, Password) สิ่งที่ฉันต้องการคือมีการเข้ารหัสฟิลด์ทั้งหมดแล้วถอดรหัส (เป็นไปได้หรือไม่ที่จะใช้sha256สำหรับการเข้ารหัส / ถอดรหัสหากไม่มีอัลกอริทึมการเข้ารหัสใด ๆ ) สิ่งที่ฉันต้องการเรียนรู้อีกอย่างหนึ่งคือการสร้างทางเดียวhash(sha256)รวมกับ "เกลือ" ที่ดีได้อย่างไร (โดยพื้นฐานแล้วฉันแค่ต้องการใช้การเข้ารหัส / ถอดรหัสอย่างง่ายhash(sha256)+salt) เซอร์ / แหม่มคำตอบของคุณจะเป็นประโยชน์อย่างยิ่งและจะได้รับการชื่นชมมากขอบคุณ ++

110 php  security  encryption  cryptography  encryption-symmetric 

ฉันกำลังพัฒนาเครื่องมือวิจัยในพื้นที่ซึ่งต้องการให้ฉันปิดนโยบายต้นทางเดียวกันของ Firefox (ในแง่ของการเข้าถึงสคริปต์ฉันไม่สนใจคำขอข้ามโดเมนจริงๆ) โดยเฉพาะอย่างยิ่งฉันต้องการให้สคริปต์ในโดเมนโฮสต์สามารถเข้าถึงองค์ประกอบที่กำหนดเองใน iframe ใด ๆ ที่ฝังอยู่ในเพจไม่ว่าจะโดเมนใดก็ตาม ฉันทราบ Q & As ก่อนหน้านี้ซึ่งกล่าวถึงส่วนขยาย CORS FF แต่นั่นไม่ใช่สิ่งที่ฉันต้องการเนื่องจากอนุญาตเฉพาะ CORS แต่ไม่สามารถเข้าถึงสคริปต์ได้ หากไม่สามารถทำได้อย่างง่ายดายฉันจะขอบคุณข้อมูลเชิงลึกที่ชี้ให้ฉันเห็นส่วนเฉพาะของโค้ด FF src ที่ฉันสามารถแก้ไขเพื่อปิดใช้งาน SOP เพื่อที่ฉันจะได้คอมไพล์ FF ใหม่

110 security  firefox  same-origin-policy 

ฉันสังเกตเห็นว่าไซต์ส่วนใหญ่ส่งรหัสผ่านเป็นข้อความธรรมดาผ่าน HTTPS ไปยังเซิร์ฟเวอร์ มีข้อดีหรือไม่ถ้าฉันส่งแฮชของรหัสผ่านไปยังเซิร์ฟเวอร์แทน จะปลอดภัยกว่าไหม

110 security  authentication  login  https 

ปิด . คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เน้นไปที่ปัญหาเดียวโดยแก้ไขโพสต์นี้เท่านั้น ปิดให้บริการใน2 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันเห็นคำนี้ในเกือบทุกแอปพลิเคชันข้ามบริการในปัจจุบัน คีย์ API คืออะไรและใช้อย่างไร นอกจากนี้คีย์ API สาธารณะและคีย์ส่วนตัวแตกต่างกันอย่างไร

109 api  security  terminology  api-key 

ใน Firefox ฉันจะทำสิ่งที่เทียบเท่า--disable-web-securityใน Chrome ได้อย่างไร มีการโพสต์จำนวนมาก แต่ไม่เคยมีคำตอบที่แท้จริง ส่วนใหญ่เป็นลิงก์ไปยังส่วนเสริม (บางส่วนใช้ไม่ได้ใน Firefox รุ่นล่าสุดหรือใช้งานไม่ได้เลย) และ "คุณต้องเปิดใช้งานการสนับสนุนบนเซิร์ฟเวอร์" นี่เป็นการทดสอบชั่วคราว ฉันทราบถึงผลกระทบด้านความปลอดภัย ฉันไม่สามารถเปิด CORS บนเซิร์ฟเวอร์ได้และโดยเฉพาะอย่างยิ่งฉันจะไม่สามารถอนุญาต localhost หรือสิ่งที่คล้ายกันได้ ค่าสถานะหรือการตั้งค่าหรือบางอย่างจะดีกว่าปลั๊กอิน ฉันยังลอง: http://www-jo.se/f.pfleger/forcecorsแต่ต้องมีบางอย่างผิดปกติเนื่องจากคำขอของฉันกลับมาว่างเปล่าโดยสิ้นเชิง แต่คำขอเดียวกันใน Chrome กลับมาใช้ได้ อีกครั้งนี่เป็นเพียงการทดสอบก่อนที่จะผลักดันไปยัง prod ซึ่งจะอยู่ในโดเมนที่อนุญาต

109 security  firefox  cross-domain  cors