คำถามติดแท็ก security

หัวข้อที่เกี่ยวข้องกับความปลอดภัยของแอปพลิเคชันและการโจมตีซอฟต์แวร์ โปรดอย่าใช้แท็กนี้เพียงอย่างเดียวซึ่งส่งผลให้เกิดความกำกวม หากคำถามของคุณไม่เกี่ยวกับปัญหาการเขียนโปรแกรมที่เฉพาะเจาะจงโปรดลองถามคำถามที่ Information Security SE: https://security.stackexchange.com แทน

8
ส่วนหัว HTTPS เข้ารหัสหรือไม่
เมื่อส่งข้อมูลผ่าน HTTPS ฉันรู้ว่าเนื้อหานั้นได้รับการเข้ารหัส แต่ฉันได้ยินคำตอบที่หลากหลายเกี่ยวกับว่าส่วนหัวได้รับการเข้ารหัสหรือมีการเข้ารหัสส่วนหัวเท่าใด เท่าใดของ HTTPS ส่วนหัวมีการเข้ารหัส? รวมถึง URL คำขอ GET / POST, คุกกี้, ฯลฯ
599 security  post  encryption  https  get 

7
SecurityError: บล็อกเฟรมที่มีต้นกำเนิดไม่ให้เข้าถึงเฟรมข้ามเฟรม
ฉันกำลังโหลด<iframe>ในหน้า HTML ของฉันและพยายามเข้าถึงองค์ประกอบภายในโดยใช้ Javascript แต่เมื่อฉันพยายามรันโค้ดของฉันฉันได้รับข้อผิดพลาดต่อไปนี้: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. คุณช่วยฉันหาวิธีแก้ปัญหาเพื่อให้ฉันสามารถเข้าถึงองค์ประกอบในเฟรมได้หรือไม่? ฉันใช้รหัสนี้สำหรับการทดสอบ แต่ในไร้สาระ: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });


9
Integrated Security = True และ Integrated Security = SSPI แตกต่างกันอย่างไร
ฉันมีสองแอพที่ใช้การรักษาความปลอดภัยแบบรวม หนึ่งได้รับมอบหมายในสตริงการเชื่อมต่อและชุดอื่นIntegrated Security = true ๆIntegrated Security = SSPI อะไรคือความแตกต่างระหว่างSSPIและtrueในบริบทของ Integrated Security?

9
การรับรองความถูกต้องตามโทเค็นคืออะไร?
ฉันต้องการเข้าใจว่าการรับรองความถูกต้องโดยใช้โทเค็นหมายถึงอะไร ฉันค้นหาอินเทอร์เน็ต แต่ไม่พบสิ่งที่เข้าใจได้

4
วิธีที่ดีที่สุดในการติดตั้ง“ จดจำฉัน” สำหรับเว็บไซต์คืออะไร [ปิด]
ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ฉันต้องการให้เว็บไซต์ของฉันมีช่องทำเครื่องหมายที่ผู้ใช้สามารถคลิกเพื่อที่พวกเขาจะไม่ต้องเข้าสู่ระบบทุกครั้งที่พวกเขาเยี่ยมชมเว็บไซต์ของฉัน ฉันรู้ว่าฉันจะต้องเก็บคุกกี้ไว้ในคอมพิวเตอร์เพื่อใช้งานสิ่งนี้ แต่สิ่งที่ควรมีอยู่ในคุกกี้นั้น นอกจากนี้ยังมีข้อผิดพลาดทั่วไปในการระวังไม่ให้คุกกี้นี้แสดงจุดอ่อนด้านความปลอดภัยซึ่งสามารถหลีกเลี่ยงได้ในขณะที่ยังคงให้ฟังก์ชัน 'จดจำฉัน'

12
ความแตกต่างพื้นฐานระหว่างอัลกอริทึม Hashing และการเข้ารหัส
ฉันเห็นความสับสนมากมายระหว่างแฮชและอัลกอริธึมการเข้ารหัสและฉันต้องการฟังคำแนะนำจากผู้เชี่ยวชาญเพิ่มเติมเกี่ยวกับ: ควรใช้แฮชเมื่อใดเทียบกับการเข้ารหัส สิ่งที่ทำให้แฮชหรืออัลกอริธึมการเข้ารหัสแตกต่างกัน (จากระดับทฤษฎี / คณิตศาสตร์) คือสิ่งที่ทำให้แฮชไม่สามารถย้อนกลับได้ (โดยไม่ต้องอาศัยต้นรุ้ง) นี่คือคำถาม SO ที่คล้ายกันที่ไม่ได้ลงรายละเอียดมากที่สุดเท่าที่ฉันกำลังมองหา: ความแตกต่างระหว่าง Obfuscation, Hashing และ Encryption คืออะไร ความแตกต่างระหว่างการเข้ารหัสและการแฮช

11
JWT (JSON Web Token) การยืดเวลาหมดอายุโดยอัตโนมัติ
ฉันต้องการใช้การตรวจสอบตาม JWT กับ REST API ใหม่ของเรา แต่เนื่องจากการหมดอายุถูกกำหนดในโทเค็นจึงเป็นไปได้ที่จะยืดออกโดยอัตโนมัติหรือไม่ ฉันไม่ต้องการให้ผู้ใช้ลงชื่อเข้าใช้ทุก ๆ X นาทีหากพวกเขาใช้แอปพลิเคชันในช่วงเวลานั้นอย่างแข็งขัน นั่นจะเป็น UX ขนาดใหญ่ที่ล้มเหลว แต่การยืดเวลาการหมดอายุสร้างโทเค็นใหม่ (และโทเค็นเก่ายังคงใช้ได้จนกว่าจะหมดอายุ) และสร้างโทเค็นใหม่หลังจากคำขอแต่ละครั้งฟังดูไร้สาระสำหรับฉัน ฟังดูเหมือนปัญหาด้านความปลอดภัยเมื่อมีโทเค็นมากกว่าหนึ่งอันถูกต้องในเวลาเดียวกัน แน่นอนฉันสามารถยกเลิกใช้เก่าใช้บัญชีดำ แต่ฉันจะต้องเก็บโทเค็น และข้อดีอย่างหนึ่งของ JWT ก็คือไม่มีที่เก็บข้อมูล ฉันพบวิธีที่ Auth0 แก้ไขได้ พวกเขาใช้โทเค็น JWT ไม่เพียง แต่ยังเป็นโทเค็นรีเฟรช: https://docs.auth0.com/refresh-token แต่อีกครั้งในการดำเนินการนี้ (ไม่มี Auth0) ฉันต้องจัดเก็บโทเค็นการรีเฟรชและรักษาวันหมดอายุไว้ แล้วประโยชน์ที่แท้จริงคืออะไร? ทำไมไม่มีโทเค็นเดียวเท่านั้น (ไม่ใช่ JWT) และเก็บการหมดอายุไว้บนเซิร์ฟเวอร์ มีตัวเลือกอื่น ๆ อีกไหม? การใช้ JWT ไม่เหมาะกับสถานการณ์นี้หรือไม่?

8
วิธีที่ดีที่สุดในการจัดเก็บรหัสผ่านในฐานข้อมูล [ปิด]
ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังว่าคำตอบจะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา ฉันกำลังทำงานในโครงการที่ต้องมีการรับรองความถูกต้อง (ชื่อผู้ใช้และรหัสผ่าน) นอกจากนี้ยังเชื่อมต่อกับฐานข้อมูลดังนั้นฉันจึงคิดว่าฉันจะเก็บชื่อผู้ใช้และรหัสผ่านที่นั่น อย่างไรก็ตามดูเหมือนว่าไม่ใช่ความคิดที่ดีที่จะมีรหัสผ่านเป็นเพียงฟิลด์ข้อความในตารางที่อยู่ในฐานข้อมูล ฉันใช้ C # และเชื่อมต่อกับเซิร์ฟเวอร์ Express 2008 ใครสามารถแนะนำ (ด้วยตัวอย่างให้ได้มากที่สุด) วิธีที่ดีที่สุดในการจัดเก็บข้อมูลประเภทนี้คืออะไร? ป.ล. ฉันเปิดรับความคิดที่ว่าข้อมูลนี้ไม่ถูกเก็บไว้ในฐานข้อมูลหากสามารถให้เหตุผลที่ดีได้

17
โปรแกรมเมอร์ทุกคนควรรู้อะไรเกี่ยวกับความปลอดภัย? [ปิด]
ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน3 ปีที่ผ่านมา ฉันเป็นนักเรียนไอทีและตอนนี้ฉันอยู่ปีที่ 3 ในมหาวิทยาลัย จนถึงตอนนี้เราได้ศึกษาวิชาต่าง ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์โดยทั่วไป (การเขียนโปรแกรมอัลกอริธึมสถาปัตยกรรมคอมพิวเตอร์คณิตศาสตร์ ฯลฯ ) ฉันแน่ใจว่าไม่มีใครสามารถเรียนรู้ทุกอย่างเกี่ยวกับความปลอดภัย แต่แน่ใจว่ามีความรู้ "ขั้นต่ำ" ทุกคนที่โปรแกรมเมอร์หรือนักเรียนไอทีควรรู้เกี่ยวกับมันและคำถามของฉันคืออะไรความรู้ขั้นต่ำนี้คืออะไร? คุณช่วยแนะนำหนังสืออิเล็กทรอนิกส์หรือหลักสูตรหรืออะไรก็ได้ที่สามารถช่วยเริ่มต้นด้วยถนนสายนี้?
427 security 

30
ปิดการใช้งานฟังก์ชั่น 'บันทึกรหัสผ่าน'
หนึ่งในความสุขของการทำงานให้กับหน่วยงานด้านการดูแลสุขภาพของรัฐบาลคือการจัดการกับความหวาดระแวงทั้งหมดเกี่ยวกับการจัดการกับ PHI (ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง) อย่าเข้าใจฉันผิดฉันทุกคนทำทุกอย่างเท่าที่จะทำได้เพื่อปกป้องข้อมูลส่วนบุคคลของผู้คน (สุขภาพการเงินนิสัยในการท่องเว็บ ฯลฯ ) แต่บางครั้งผู้คนก็หวาดกลัวเกินไป กรณีตรงประเด็น: หนึ่งในลูกค้าของเรารัฐพบว่าเบราว์เซอร์มีคุณสมบัติที่มีประโยชน์ในการบันทึกรหัสผ่านของคุณ เราทุกคนรู้ดีว่ามันมีมานานแล้วและเป็นทางเลือกที่สมบูรณ์และขึ้นอยู่กับผู้ใช้ปลายทางในการตัดสินใจว่าจะใช้อย่างชาญฉลาดหรือไม่ อย่างไรก็ตามมีความโกลาหลเล็กน้อยในขณะนี้และเรากำลังถูกขอให้ค้นหาวิธีปิดการใช้งานฟังก์ชั่นนั้นสำหรับเว็บไซต์ของเรา คำถาม : มีวิธีใดบ้างที่เว็บไซต์จะบอกเบราว์เซอร์ว่าจะไม่เสนอให้จำรหัสผ่าน? ฉันใช้เวลานานในการพัฒนาเว็บไซต์ แต่ไม่รู้ว่าฉันเคยเจอมาก่อน ความช่วยเหลือใด ๆ ที่ชื่นชม

30
ช่องโหว่ด้านความปลอดภัยที่แย่ที่สุดที่คุณเคยเห็น? [ปิด]
ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ช่องโหว่ความปลอดภัยที่เลวร้ายที่สุดที่คุณเคยเห็นคืออะไร? มันอาจเป็นความคิดที่ดีที่จะเก็บรายละเอียดไว้อย่าง จำกัด เพื่อป้องกันความผิด สำหรับสิ่งที่คุ้มค่าต่อไปนี้เป็นคำถามเกี่ยวกับสิ่งที่ต้องทำหากคุณพบช่องโหว่ด้านความปลอดภัยและอีกคำตอบหนึ่งที่มีประโยชน์หาก บริษัท ไม่ตอบสนอง (ดูเหมือนจะ)
413 security 

16
วิธีการรักษาความปลอดภัยรหัสผ่านฐานข้อมูลใน PHP?
เมื่อแอปพลิเคชั่น PHP ทำการเชื่อมต่อฐานข้อมูลแน่นอนว่าโดยทั่วไปจะต้องผ่านการเข้าสู่ระบบและรหัสผ่าน หากฉันใช้การเข้าสู่ระบบที่ได้รับอนุญาตขั้นต่ำเพียงครั้งเดียวสำหรับแอปพลิเคชันของฉัน PHP จำเป็นต้องรู้ว่าการเข้าสู่ระบบและรหัสผ่านนั้นอยู่ที่ไหนสักแห่ง วิธีที่ดีที่สุดในการรักษาความปลอดภัยรหัสผ่านนั้นคืออะไร? ดูเหมือนว่าเพียงแค่เขียนในโค้ด PHP นั้นไม่ใช่ความคิดที่ดี
404 php  database  security 

1
ความแตกต่างระหว่างบัญชี 'ระบบภายใน' และบัญชี 'บริการเครือข่าย' หรือไม่
ฉันได้เขียนบริการ Windows ที่วางกระบวนการแยกต่างหาก กระบวนการนี้สร้างวัตถุ COM หากบริการทำงานภายใต้บัญชี 'Local System' ทุกอย่างทำงานได้ดี แต่หากบริการทำงานภายใต้บัญชี 'บริการเครือข่าย' กระบวนการภายนอกจะเริ่มต้นขึ้น แต่ไม่สามารถสร้างวัตถุ COM ข้อผิดพลาดที่ส่งคืนจากการสร้างวัตถุ COM ไม่ใช่ข้อผิดพลาด COM มาตรฐาน (ฉันคิดว่าเฉพาะวัตถุ COM ที่กำลังสร้าง) ดังนั้นฉันจะทราบได้อย่างไรว่าทั้งสองบัญชี 'ระบบภายใน' และ 'บริการเครือข่าย' แตกต่างกันอย่างไร บัญชีในตัวเหล่านี้ดูเหมือนลึกลับมากและไม่มีใครรู้อะไรเกี่ยวกับพวกเขามากนัก
386 windows  security 

5
ทำไมต้อง JsonRequestBehavior?
ทำไมถึงJson Request Behaviorจำเป็น? หากฉันต้องการ จำกัดHttpGetคำขอให้ดำเนินการของฉันฉันสามารถตกแต่งแอ็คชันด้วย[HttpPost]แอตทริบิวต์ ตัวอย่าง: [HttpPost] public JsonResult Foo() { return Json("Secrets"); } // Instead of: public JsonResult Foo() { return Json("Secrets", JsonRequestBehavior.AllowGet); } ทำไมจึงไม่[HttpPost]เพียงพอ ทำไมกรอบการทำงานของ "ข้อบกพร่อง" ที่เรามีJsonRequestBehavior.AllowGetสำหรับทุกJsonResultสิ่งที่เรามี หากฉันต้องการที่จะปฏิเสธการขอฉันจะเพิ่มHttpPostคุณสมบัติ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.