คำถามติดแท็ก security

เมื่อส่งข้อมูลผ่าน HTTPS ฉันรู้ว่าเนื้อหานั้นได้รับการเข้ารหัส แต่ฉันได้ยินคำตอบที่หลากหลายเกี่ยวกับว่าส่วนหัวได้รับการเข้ารหัสหรือมีการเข้ารหัสส่วนหัวเท่าใด เท่าใดของ HTTPS ส่วนหัวมีการเข้ารหัส? รวมถึง URL คำขอ GET / POST, คุกกี้, ฯลฯ

599 security  post  encryption  https  get 

ฉันกำลังโหลด<iframe>ในหน้า HTML ของฉันและพยายามเข้าถึงองค์ประกอบภายในโดยใช้ Javascript แต่เมื่อฉันพยายามรันโค้ดของฉันฉันได้รับข้อผิดพลาดต่อไปนี้: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. คุณช่วยฉันหาวิธีแก้ปัญหาเพื่อให้ฉันสามารถเข้าถึงองค์ประกอบในเฟรมได้หรือไม่? ฉันใช้รหัสนี้สำหรับการทดสอบ แต่ในไร้สาระ: $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });

555 javascript  jquery  security  iframe  same-origin-policy 

ฟังก์ชั่น eval เป็นวิธีที่ทรงพลังและง่ายต่อการสร้างรหัสแบบไดนามิกดังนั้นคำเตือนคืออะไร

534 javascript  security  eval 

ฉันมีสองแอพที่ใช้การรักษาความปลอดภัยแบบรวม หนึ่งได้รับมอบหมายในสตริงการเชื่อมต่อและชุดอื่นIntegrated Security = true ๆIntegrated Security = SSPI อะไรคือความแตกต่างระหว่างSSPIและtrueในบริบทของ Integrated Security?

531 sql-server  security  connection-string  database-security 

ฉันต้องการเข้าใจว่าการรับรองความถูกต้องโดยใช้โทเค็นหมายถึงอะไร ฉันค้นหาอินเทอร์เน็ต แต่ไม่พบสิ่งที่เข้าใจได้

514 security  authentication  token  http-token-authentication 

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ฉันต้องการให้เว็บไซต์ของฉันมีช่องทำเครื่องหมายที่ผู้ใช้สามารถคลิกเพื่อที่พวกเขาจะไม่ต้องเข้าสู่ระบบทุกครั้งที่พวกเขาเยี่ยมชมเว็บไซต์ของฉัน ฉันรู้ว่าฉันจะต้องเก็บคุกกี้ไว้ในคอมพิวเตอร์เพื่อใช้งานสิ่งนี้ แต่สิ่งที่ควรมีอยู่ในคุกกี้นั้น นอกจากนี้ยังมีข้อผิดพลาดทั่วไปในการระวังไม่ให้คุกกี้นี้แสดงจุดอ่อนด้านความปลอดภัยซึ่งสามารถหลีกเลี่ยงได้ในขณะที่ยังคงให้ฟังก์ชัน 'จดจำฉัน'

510 security  cookies  remember-me 

ฉันเห็นความสับสนมากมายระหว่างแฮชและอัลกอริธึมการเข้ารหัสและฉันต้องการฟังคำแนะนำจากผู้เชี่ยวชาญเพิ่มเติมเกี่ยวกับ: ควรใช้แฮชเมื่อใดเทียบกับการเข้ารหัส สิ่งที่ทำให้แฮชหรืออัลกอริธึมการเข้ารหัสแตกต่างกัน (จากระดับทฤษฎี / คณิตศาสตร์) คือสิ่งที่ทำให้แฮชไม่สามารถย้อนกลับได้ (โดยไม่ต้องอาศัยต้นรุ้ง) นี่คือคำถาม SO ที่คล้ายกันที่ไม่ได้ลงรายละเอียดมากที่สุดเท่าที่ฉันกำลังมองหา: ความแตกต่างระหว่าง Obfuscation, Hashing และ Encryption คืออะไร ความแตกต่างระหว่างการเข้ารหัสและการแฮช

509 security  encryption  hash  cryptography 

ฉันต้องการใช้การตรวจสอบตาม JWT กับ REST API ใหม่ของเรา แต่เนื่องจากการหมดอายุถูกกำหนดในโทเค็นจึงเป็นไปได้ที่จะยืดออกโดยอัตโนมัติหรือไม่ ฉันไม่ต้องการให้ผู้ใช้ลงชื่อเข้าใช้ทุก ๆ X นาทีหากพวกเขาใช้แอปพลิเคชันในช่วงเวลานั้นอย่างแข็งขัน นั่นจะเป็น UX ขนาดใหญ่ที่ล้มเหลว แต่การยืดเวลาการหมดอายุสร้างโทเค็นใหม่ (และโทเค็นเก่ายังคงใช้ได้จนกว่าจะหมดอายุ) และสร้างโทเค็นใหม่หลังจากคำขอแต่ละครั้งฟังดูไร้สาระสำหรับฉัน ฟังดูเหมือนปัญหาด้านความปลอดภัยเมื่อมีโทเค็นมากกว่าหนึ่งอันถูกต้องในเวลาเดียวกัน แน่นอนฉันสามารถยกเลิกใช้เก่าใช้บัญชีดำ แต่ฉันจะต้องเก็บโทเค็น และข้อดีอย่างหนึ่งของ JWT ก็คือไม่มีที่เก็บข้อมูล ฉันพบวิธีที่ Auth0 แก้ไขได้ พวกเขาใช้โทเค็น JWT ไม่เพียง แต่ยังเป็นโทเค็นรีเฟรช: https://docs.auth0.com/refresh-token แต่อีกครั้งในการดำเนินการนี้ (ไม่มี Auth0) ฉันต้องจัดเก็บโทเค็นการรีเฟรชและรักษาวันหมดอายุไว้ แล้วประโยชน์ที่แท้จริงคืออะไร? ทำไมไม่มีโทเค็นเดียวเท่านั้น (ไม่ใช่ JWT) และเก็บการหมดอายุไว้บนเซิร์ฟเวอร์ มีตัวเลือกอื่น ๆ อีกไหม? การใช้ JWT ไม่เหมาะกับสถานการณ์นี้หรือไม่?

509 node.js  api  security  authentication  jwt 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังว่าคำตอบจะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา ฉันกำลังทำงานในโครงการที่ต้องมีการรับรองความถูกต้อง (ชื่อผู้ใช้และรหัสผ่าน) นอกจากนี้ยังเชื่อมต่อกับฐานข้อมูลดังนั้นฉันจึงคิดว่าฉันจะเก็บชื่อผู้ใช้และรหัสผ่านที่นั่น อย่างไรก็ตามดูเหมือนว่าไม่ใช่ความคิดที่ดีที่จะมีรหัสผ่านเป็นเพียงฟิลด์ข้อความในตารางที่อยู่ในฐานข้อมูล ฉันใช้ C # และเชื่อมต่อกับเซิร์ฟเวอร์ Express 2008 ใครสามารถแนะนำ (ด้วยตัวอย่างให้ได้มากที่สุด) วิธีที่ดีที่สุดในการจัดเก็บข้อมูลประเภทนี้คืออะไร? ป.ล. ฉันเปิดรับความคิดที่ว่าข้อมูลนี้ไม่ถูกเก็บไว้ในฐานข้อมูลหากสามารถให้เหตุผลที่ดีได้

475 database  security  passwords 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน3 ปีที่ผ่านมา ฉันเป็นนักเรียนไอทีและตอนนี้ฉันอยู่ปีที่ 3 ในมหาวิทยาลัย จนถึงตอนนี้เราได้ศึกษาวิชาต่าง ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์โดยทั่วไป (การเขียนโปรแกรมอัลกอริธึมสถาปัตยกรรมคอมพิวเตอร์คณิตศาสตร์ ฯลฯ ) ฉันแน่ใจว่าไม่มีใครสามารถเรียนรู้ทุกอย่างเกี่ยวกับความปลอดภัย แต่แน่ใจว่ามีความรู้ "ขั้นต่ำ" ทุกคนที่โปรแกรมเมอร์หรือนักเรียนไอทีควรรู้เกี่ยวกับมันและคำถามของฉันคืออะไรความรู้ขั้นต่ำนี้คืออะไร? คุณช่วยแนะนำหนังสืออิเล็กทรอนิกส์หรือหลักสูตรหรืออะไรก็ได้ที่สามารถช่วยเริ่มต้นด้วยถนนสายนี้?

427 security 

หนึ่งในความสุขของการทำงานให้กับหน่วยงานด้านการดูแลสุขภาพของรัฐบาลคือการจัดการกับความหวาดระแวงทั้งหมดเกี่ยวกับการจัดการกับ PHI (ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง) อย่าเข้าใจฉันผิดฉันทุกคนทำทุกอย่างเท่าที่จะทำได้เพื่อปกป้องข้อมูลส่วนบุคคลของผู้คน (สุขภาพการเงินนิสัยในการท่องเว็บ ฯลฯ ) แต่บางครั้งผู้คนก็หวาดกลัวเกินไป กรณีตรงประเด็น: หนึ่งในลูกค้าของเรารัฐพบว่าเบราว์เซอร์มีคุณสมบัติที่มีประโยชน์ในการบันทึกรหัสผ่านของคุณ เราทุกคนรู้ดีว่ามันมีมานานแล้วและเป็นทางเลือกที่สมบูรณ์และขึ้นอยู่กับผู้ใช้ปลายทางในการตัดสินใจว่าจะใช้อย่างชาญฉลาดหรือไม่ อย่างไรก็ตามมีความโกลาหลเล็กน้อยในขณะนี้และเรากำลังถูกขอให้ค้นหาวิธีปิดการใช้งานฟังก์ชั่นนั้นสำหรับเว็บไซต์ของเรา คำถาม : มีวิธีใดบ้างที่เว็บไซต์จะบอกเบราว์เซอร์ว่าจะไม่เสนอให้จำรหัสผ่าน? ฉันใช้เวลานานในการพัฒนาเว็บไซต์ แต่ไม่รู้ว่าฉันเคยเจอมาก่อน ความช่วยเหลือใด ๆ ที่ชื่นชม

423 security  browser  autocomplete  passwords 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ช่องโหว่ความปลอดภัยที่เลวร้ายที่สุดที่คุณเคยเห็นคืออะไร? มันอาจเป็นความคิดที่ดีที่จะเก็บรายละเอียดไว้อย่าง จำกัด เพื่อป้องกันความผิด สำหรับสิ่งที่คุ้มค่าต่อไปนี้เป็นคำถามเกี่ยวกับสิ่งที่ต้องทำหากคุณพบช่องโหว่ด้านความปลอดภัยและอีกคำตอบหนึ่งที่มีประโยชน์หาก บริษัท ไม่ตอบสนอง (ดูเหมือนจะ)

413 security 

เมื่อแอปพลิเคชั่น PHP ทำการเชื่อมต่อฐานข้อมูลแน่นอนว่าโดยทั่วไปจะต้องผ่านการเข้าสู่ระบบและรหัสผ่าน หากฉันใช้การเข้าสู่ระบบที่ได้รับอนุญาตขั้นต่ำเพียงครั้งเดียวสำหรับแอปพลิเคชันของฉัน PHP จำเป็นต้องรู้ว่าการเข้าสู่ระบบและรหัสผ่านนั้นอยู่ที่ไหนสักแห่ง วิธีที่ดีที่สุดในการรักษาความปลอดภัยรหัสผ่านนั้นคืออะไร? ดูเหมือนว่าเพียงแค่เขียนในโค้ด PHP นั้นไม่ใช่ความคิดที่ดี

404 php  database  security 

ฉันได้เขียนบริการ Windows ที่วางกระบวนการแยกต่างหาก กระบวนการนี้สร้างวัตถุ COM หากบริการทำงานภายใต้บัญชี 'Local System' ทุกอย่างทำงานได้ดี แต่หากบริการทำงานภายใต้บัญชี 'บริการเครือข่าย' กระบวนการภายนอกจะเริ่มต้นขึ้น แต่ไม่สามารถสร้างวัตถุ COM ข้อผิดพลาดที่ส่งคืนจากการสร้างวัตถุ COM ไม่ใช่ข้อผิดพลาด COM มาตรฐาน (ฉันคิดว่าเฉพาะวัตถุ COM ที่กำลังสร้าง) ดังนั้นฉันจะทราบได้อย่างไรว่าทั้งสองบัญชี 'ระบบภายใน' และ 'บริการเครือข่าย' แตกต่างกันอย่างไร บัญชีในตัวเหล่านี้ดูเหมือนลึกลับมากและไม่มีใครรู้อะไรเกี่ยวกับพวกเขามากนัก

386 windows  security 

ทำไมถึงJson Request Behaviorจำเป็น? หากฉันต้องการ จำกัดHttpGetคำขอให้ดำเนินการของฉันฉันสามารถตกแต่งแอ็คชันด้วย[HttpPost]แอตทริบิวต์ ตัวอย่าง: [HttpPost] public JsonResult Foo() { return Json("Secrets"); } // Instead of: public JsonResult Foo() { return Json("Secrets", JsonRequestBehavior.AllowGet); } ทำไมจึงไม่[HttpPost]เพียงพอ ทำไมกรอบการทำงานของ "ข้อบกพร่อง" ที่เรามีJsonRequestBehavior.AllowGetสำหรับทุกJsonResultสิ่งที่เรามี หากฉันต้องการที่จะปฏิเสธการขอฉันจะเพิ่มHttpPostคุณสมบัติ

384 c#  .net  asp.net-mvc  asp.net-mvc-3  security