คำถามติดแท็ก security

ที่ฉันหมายถึงคือ: Original String + Salt or Key --> Encrypted String Encrypted String + Salt or Key --> Decrypted (Original String) อาจจะชอบ: "hello world!" + "ABCD1234" --> Encrypt --> "2a2ffa8f13220befbe30819047e23b2c" (may be, for e.g) "2a2ffa8f13220befbe30819047e23b2c" --> Decrypt with "ABCD1234" --> "hello world!" ใน PHP คุณจะทำสิ่งนี้ได้อย่างไร พยายามใช้Crypt_Blowfishแต่ไม่ได้ผลสำหรับฉัน

225 php  security  encryption  cryptography  encryption-symmetric 

อย่าลังเลที่จะแก้ไขฉันหากข้อสันนิษฐานของฉันผิดที่นี่ แต่ให้ฉันอธิบายว่าทำไมฉันถึงถาม นำมาจาก MSDN, a SecureString: แสดงถึงข้อความที่ควรเก็บเป็นความลับ ข้อความถูกเข้ารหัสเพื่อความเป็นส่วนตัวเมื่อมีการใช้งานและลบออกจากหน่วยความจำคอมพิวเตอร์เมื่อไม่ต้องการใช้อีกต่อไป ฉันได้รับมันทำให้รู้สึกที่สมบูรณ์ในการจัดเก็บรหัสผ่านหรือข้อมูลส่วนตัวอื่น ๆ ในSecureStringช่วงเวลาSystem.Stringเพราะคุณสามารถควบคุมวิธีการและเวลาที่มันถูกเก็บไว้ในหน่วยความจำจริงเพราะSystem.String: มีทั้งที่ไม่เปลี่ยนรูปและเมื่อไม่ต้องการอีกต่อไปจะไม่สามารถกำหนดตารางเวลาทางโปรแกรมสำหรับการรวบรวมขยะ นั่นคืออินสแตนซ์จะอ่านอย่างเดียวหลังจากที่มันถูกสร้างขึ้นและมันเป็นไปไม่ได้ที่จะทำนายเมื่ออินสแตนซ์จะถูกลบออกจากหน่วยความจำคอมพิวเตอร์ ดังนั้นหากวัตถุ String มีข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านหมายเลขบัตรเครดิตหรือข้อมูลส่วนบุคคลมีความเสี่ยงที่ข้อมูลจะถูกเปิดเผยหลังจากใช้งานเพราะแอปพลิเคชันของคุณไม่สามารถลบข้อมูลออกจากหน่วยความจำคอมพิวเตอร์ อย่างไรก็ตามในกรณีของโปรแกรม GUI (ตัวอย่างเช่นลูกค้า SSH) ที่จะต้องมีการสร้างขึ้นจากSecureString System.Stringทั้งหมดของการควบคุมข้อความที่ใช้สตริงเป็นชนิดข้อมูลพื้นฐาน ดังนั้นนี่หมายความว่าทุกครั้งที่ผู้ใช้กดปุ่มสตริงเก่าที่ถูกทิ้งและสตริงใหม่จะถูกสร้างขึ้นเพื่อเป็นตัวแทนของค่าภายในกล่องข้อความแม้ว่าจะใช้หน้ากากรหัสผ่าน และเราไม่สามารถควบคุมได้ว่าค่าเหล่านั้นจะถูกทิ้งจากหน่วยความจำเมื่อใดหรือไม่ ถึงเวลาเข้าสู่ระบบเซิร์ฟเวอร์แล้ว คาดเดาอะไร คุณต้องผ่านสตริงผ่านการเชื่อมต่อสำหรับการรับรองความถูกต้อง งั้นเรามาแปลงSecureStringเป็น a System.String.... และตอนนี้เรามีสตริงบน heap โดยไม่มีทางบังคับให้ผ่านการรวบรวมขยะ (หรือเขียน 0 ไปยังบัฟเฟอร์) จุดของฉันคือ : ไม่ว่าสิ่งที่คุณทำบางเส้นที่SecureStringจะไปที่จะถูกแปลงเป็นSystem.Stringความหมายมันจะมีอยู่ที่อย่างน้อยในกองในบางจุด (โดยไม่มีการรับประกันของการเก็บขยะใด ๆ ) จุดของฉันไม่ใช่ : มีวิธีหลีกเลี่ยงการส่งสตริงไปยังการเชื่อมต่อ ssh หรือหลีกเลี่ยงการมีตัวควบคุมเก็บสตริง (ทำการควบคุมแบบกำหนดเอง) สำหรับคำถามนี้คุณสามารถแทนที่ "การเชื่อมต่อ …

224 c#  security 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน7 ปีที่ผ่านมา ฉันกำลังดูอัลกอริทึมการแปลงแป้นพิมพ์ แต่ไม่พบคำตอบ Bcrypt ใช้ Blowfish ปักเป้าดีกว่า MD5 ถาม: แต่ปักเป้าดีกว่า SHA512 หรือไม่ ขอบคุณ .. ปรับปรุง: ฉันต้องการชี้แจงว่าฉันเข้าใจความแตกต่างระหว่างการแฮชและการเข้ารหัส สิ่งที่ถามฉันจะถามคำถามแบบนี้เป็นบทความนี้ , ที่ผู้เขียนหมายถึง bcrypt ว่า "การปรับตัวคร่ำเครียด" เนื่องจาก bcrypt นั้นเป็นพื้นฐานของ Blowfish ฉันจึงถูกนำไปคิดว่า Blowfish นั้นเป็นอัลกอริทึมคร่ำเครียด หากการเข้ารหัสเป็นคำตอบได้ชี้ให้เห็นแล้วดูเหมือนว่าฉันไม่ควรมีที่ในบทความนี้ สิ่งที่แย่กว่านั้นคือเขาสรุปว่า bcrypt นั้นดีที่สุด สิ่งที่ทำให้ฉันสับสนตอนนี้ก็คือคลาส phpass (ใช้สำหรับการแฮ็กรหัสผ่านที่ฉันเชื่อ) ใช้ bcrypt (เช่นปักเป้าการเข้ารหัสเช่น) จากข้อมูลใหม่นี้ที่พวกคุณกำลังบอกฉัน (ปักเป้าเป็นการเข้ารหัส) คลาสนี้ฟังดูผิด ฉันพลาดอะไรไปรึเปล่า?

222 security  encryption  passwords  hash 

ชุดของขั้นตอนที่จำเป็นในการตรวจสอบความปลอดภัยใบรับรอง SSL คืออะไร? ความเข้าใจของฉัน (จำกัด มาก) คือเมื่อคุณเยี่ยมชมไซต์ https เซิร์ฟเวอร์จะส่งใบรับรองไปยังไคลเอนต์ (เบราว์เซอร์) และเบราว์เซอร์จะได้รับข้อมูลผู้ออกใบรับรองจากใบรับรองนั้นจากนั้นใช้เพื่อติดต่อผู้ออกใบรับรอง ใบรับรองความถูกต้อง ทำสิ่งนี้ได้อย่างไร? กระบวนการนี้ทำให้ภูมิคุ้มกันในการโจมตีจากคนกลาง? อะไรทำให้คนที่สุ่มบางคนไม่สามารถตั้งค่าบริการการตรวจสอบของตนเองเพื่อใช้ในการโจมตีแบบคนกลางดังนั้นทุกอย่าง "ดู" ปลอดภัย

219 algorithm  security  ssl  certificate 

มีวิธีการรีเซ็ตทั้งหมด (หรือเพียงแค่ปิดการใช้งานการตั้งค่าความปลอดภัย) จากบรรทัดคำสั่งโดยไม่มีผู้ใช้ / รหัสผ่านที่ฉันจัดการเพื่อล็อคตัวเองออกจากJenkins?

217 linux  security  jenkins  command-line 

ฉันกำลังพูดถึงเกมแอคชั่นที่ไม่มีขีด จำกัด คะแนนสูงสุดและไม่มีทางที่จะตรวจสอบคะแนนบนเซิร์ฟเวอร์โดยเล่นซ้ำการเคลื่อนไหวเป็นต้น สิ่งที่ฉันต้องการจริงๆคือการเข้ารหัสที่แข็งแกร่งที่สุดที่เป็นไปได้ใน Flash / PHP และวิธีการป้องกันไม่ให้คนเรียกหน้า PHP อื่น ๆ นอกเหนือจากไฟล์ Flash ของฉัน ฉันได้ลองวิธีง่าย ๆ บางอย่างในอดีตของการโทรหลายครั้งเพื่อทำคะแนนเดียวและทำลำดับการตรวจสอบ / ฟีโบนักชี ฯลฯ และยังทำให้ไฟล์ SWF ยุ่งเหยิงด้วย Amayeta SWF Encrypt แต่พวกมันทั้งหมดถูกแฮ็กในที่สุด ขอบคุณการตอบกลับของ StackOverflow ตอนนี้ฉันได้พบข้อมูลเพิ่มเติมจาก Adobe - http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_12.htmlและhttps://github.com/mikechambers/as3corelibซึ่งฉันคิดว่าฉัน สามารถใช้สำหรับการเข้ารหัส ไม่แน่ใจว่าจะพาฉันไปที่ CheatEngine ได้ไหม ฉันจำเป็นต้องรู้วิธีแก้ปัญหาที่ดีที่สุดสำหรับทั้ง AS2 และ AS3 หากพวกเขาแตกต่างกัน ปัญหาหลักดูเหมือนจะเป็นเช่น TamperData และ LiveHTTP headers แต่ฉันเข้าใจว่ามีเครื่องมือแฮ็คขั้นสูงเช่น CheatEngine (ขอบคุณ …

212 php  actionscript-3  security  actionscript  actionscript-2 

ความแตกต่างระหว่างไฟล์ cer, pvk และ pfx คืออะไร? นอกจากนี้ฉันจะเก็บไฟล์ใดไว้และฉันคาดหวังให้คู่ความของฉันเป็นใคร

204 security  public-key 

ทีมของฉันได้มอบรหัสฝั่งเซิร์ฟเวอร์ (ใน Java) ที่สร้างโทเค็นแบบสุ่มและฉันมีคำถามเกี่ยวกับสิ่งเดียวกัน - วัตถุประสงค์ของโทเค็นเหล่านี้มีความอ่อนไหวพอสมควร - ใช้สำหรับรหัสเซสชันลิงก์การตั้งรหัสผ่านเป็นต้นดังนั้นพวกเขาจึงจำเป็นต้องมีการสุ่มเข้ารหัสเพื่อหลีกเลี่ยงใครบางคนที่เดาพวกเขา โทเค็นคือ "ยาว" ดังนั้นจึงมีความยาว 64 บิต รหัสปัจจุบันใช้java.util.Randomคลาสเพื่อสร้างโทเค็นเหล่านี้ เอกสารสำหรับการjava.util.Randomระบุอย่างชัดเจนต่อไปนี้: อินสแตนซ์ของ java.util.Random ไม่ปลอดภัยแบบเข้ารหัส พิจารณาใช้ SecureRandom แทนเพื่อให้เครื่องสร้างตัวเลขสุ่มหลอกเข้ารหัสลับปลอดภัยสำหรับใช้โดยแอปพลิเคชันที่มีความปลอดภัย อย่างไรก็ตามวิธีการที่ใช้รหัสในปัจจุบันjava.util.Randomคือ - มันทำให้คลาสเป็นอินสแตนซ์java.security.SecureRandomแล้วใช้SecureRandom.nextLong()วิธีการรับเมล็ดที่ใช้สำหรับอินสแตนซ์java.util.Randomชั้น จากนั้นจะใช้java.util.Random.nextLong()วิธีการสร้างโทเค็น ดังนั้นคำถามของฉันตอนนี้ - มันยังไม่ปลอดภัยหรือไม่เมื่อjava.util.Randomใช้เมล็ดjava.security.SecureRandom? ฉันจำเป็นต้องแก้ไขรหัสเพื่อใช้เป็นjava.security.SecureRandomเอกสิทธิ์ในการสร้างโทเค็นหรือไม่ ในปัจจุบันเมล็ดรหัสนั้นเป็นRandomครั้งเดียวเมื่อเริ่มต้น

202 java  random  cryptography  security 

ฉันกำลังพยายามสร้างรหัสผ่านแบบสุ่มใน php อย่างไรก็ตามฉันได้รับทั้งหมดและชนิดกลับเป็นประเภท array และฉันต้องการให้เป็นสตริง ความคิดเห็นเกี่ยวกับวิธีการแก้ไขรหัส? ขอบคุณ function randomPassword() { $alphabet = "abcdefghijklmnopqrstuwxyzABCDEFGHIJKLMNOPQRSTUWXYZ0123456789"; for ($i = 0; $i < 8; $i++) { $n = rand(0, count($alphabet)-1); $pass[$i] = $alphabet[$n]; } return $pass; }

190 php  security  random  passwords 

ฉันเพิ่งอ่านเกี่ยวกับช่องโหว่ความปลอดภัยที่ค้นพบใหม่ใน ASP.NET คุณสามารถอ่านรายละเอียดได้ที่นี่ ปัญหาอยู่ในลักษณะที่ ASP.NET ใช้อัลกอริทึมการเข้ารหัส AES เพื่อปกป้องความสมบูรณ์ของคุกกี้ที่แอปพลิเคชันเหล่านี้สร้างขึ้นเพื่อเก็บข้อมูลระหว่างเซสชันผู้ใช้ มันค่อนข้างคลุมเครือ แต่นี่เป็นส่วนที่น่ากลัวกว่า: ขั้นแรกของการโจมตีใช้เวลาไม่กี่พันคำร้องขอ แต่เมื่อประสบความสำเร็จและผู้โจมตีได้รับกุญแจความลับมันลับ ๆ ล่อ ๆ โดยสิ้นเชิง โดยรวมแล้วฉันไม่คุ้นเคยกับเรื่องความปลอดภัย / การเข้ารหัสลับที่จะรู้ว่านี่เป็นเรื่องที่ร้ายแรงหรือไม่ ดังนั้นนักพัฒนา ASP.NET ทุกคนควรกลัวเทคนิคนี้ที่สามารถเป็นเจ้าของเว็บไซต์ ASP.NET ใด ๆ ในไม่กี่วินาทีหรืออะไร ปัญหานี้ส่งผลกระทบต่อนักพัฒนา ASP.NET โดยเฉลี่ยอย่างไร มันส่งผลกระทบต่อพวกเราหรือไม่? ในชีวิตจริงสิ่งที่เป็นผลมาจากช่องโหว่นี้คืออะไร? และในที่สุด: มีวิธีแก้ไขบางอย่างที่ป้องกันช่องโหว่นี้หรือไม่? ขอบคุณสำหรับคำตอบ! แก้ไข: ฉันขอสรุปคำตอบที่ฉันได้รับ ดังนั้นนี่คือการโจมตีแบบ "ช่องว่างภายใน" @Sriให้คำอธิบายที่ดีเกี่ยวกับการโจมตีประเภทนี้หมายความว่าอย่างไร นี่คือวิดีโอที่น่าตกใจเกี่ยวกับปัญหานี้! เกี่ยวกับความร้ายแรงของช่องโหว่นี้: ใช่มันเป็นเรื่องร้ายแรง ช่วยให้ผู้โจมตีรู้จักรหัสเครื่องของแอปพลิเคชัน ดังนั้นเขาสามารถทำสิ่งที่ไม่ต้องการมาก ในการกดปุ่มของเครื่องของแอปผู้บุกรุกสามารถถอดรหัสคุกกี้การตรวจสอบสิทธิ์ ยิ่งกว่านั้นเขาสามารถสร้างคุกกี้การรับรองความถูกต้องด้วยชื่อของผู้ใช้ใด ๆ ดังนั้นเขาสามารถปรากฏเป็นทุกคนในเว็บไซต์ แอปพลิเคชันไม่สามารถแยกความแตกต่างระหว่างคุณหรือแฮ็กเกอร์ที่สร้างคุกกี้การรับรองความถูกต้องด้วยชื่อของคุณเอง นอกจากนี้ยังช่วยให้เขาถอดรหัส …

189 asp.net  .net  security  padding-oracle-attack 

ฉันกำลังพยายามใช้ Angular กับรายการแอพและแต่ละอันเป็นลิงค์เพื่อดูแอปในรายละเอียดเพิ่มเติม ( apps/app.id): <a id="{{app.id}}" href="apps/{{app.id}}" >{{app.name}}</a> ทุกครั้งที่ฉันคลิกลิงก์ใดลิงก์หนึ่งเหล่านี้ Chrome จะแสดง URL เป็น unsafe:chrome-extension://kpbipnfncdpgejhmdneaagc.../apps/app.id ที่ไหนที่ไม่unsafe:มาจากไหน?

186 javascript  angularjs  security  google-chrome-extension 

ฉันสงสัยว่าฉันควรใช้โปรโตคอลCASหรือOAuth + ผู้ให้บริการการพิสูจน์ตัวตนบางรายสำหรับการลงชื่อเข้าใช้ครั้งเดียวหรือไม่ ตัวอย่างสถานการณ์: ผู้ใช้พยายามเข้าถึงทรัพยากรที่มีการป้องกัน แต่ไม่ได้รับการรับรองความถูกต้อง แอปพลิเคชันเปลี่ยนเส้นทางผู้ใช้ไปยังเซิร์ฟเวอร์ SSO หากการผึ้งรับรองความถูกต้องผู้ใช้จะได้รับโทเค็นจากเซิร์ฟเวอร์ SSO SSO เปลี่ยนเส้นทางไปยังแอปพลิเคชันดั้งเดิม แอปพลิเคชันดั้งเดิมตรวจสอบโทเค็นกับเซิร์ฟเวอร์ SSO หากโทเค็นตกลงการเข้าถึงจะได้รับอนุญาตและแอปพลิเคชันจะรู้รหัสผู้ใช้ ผู้ใช้ทำการล็อกเอาต์และออกจากแอพพลิเคชั่นที่เชื่อมต่อทั้งหมดพร้อมกัน (การลงชื่อออกครั้งเดียว) เท่าที่ฉันเข้าใจว่าเป็นสิ่งที่ CAS คิดค้นขึ้นมา ลูกค้า CAS ต้องใช้โปรโตคอล CAS เพื่อใช้บริการตรวจสอบความถูกต้อง ตอนนี้ฉันสงสัยว่าจะใช้ CAS หรือ OAuth ที่ไซต์ลูกค้า (ผู้บริโภค) OAuth เป็นส่วนทดแทนสำหรับ CAS นั้นหรือไม่ OAuth ในฐานะมาตรฐานความเป็นจริงใหม่ควรเป็นที่ต้องการหรือไม่ มีการใช้งานง่าย (ไม่ใช่ Sun OpenSSO!) แทนส่วนการรับรองความถูกต้องของ CAS ที่รองรับวิธีการที่แตกต่างกันเช่นชื่อผู้ใช้ / รหัสผ่าน OpenID ใบรับรอง TLS ... …

184 security  oauth  single-sign-on  cas 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน6 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันไม่ได้เป็นผู้เชี่ยวชาญด้านความปลอดภัย แต่อย่างใดฉันชอบสร้างบริการเว็บ REST ในการสร้างบริการใหม่ที่จำเป็นต้องมีข้อมูลที่จะส่งผ่านความปลอดภัย เราได้ถกเถียงกันว่าแนวทางใดปลอดภัยกว่า - REST กับ HTTPS หรือ SOAP WS ด้วย WS-Security ฉันอยู่ภายใต้การแสดงผลที่เราสามารถใช้ HTTPS สำหรับการเรียกใช้บริการเว็บทั้งหมดและวิธีการนี้จะปลอดภัย วิธีที่ฉันดูคือ "ถ้า HTTPS ดีพอสำหรับเว็บไซต์ธนาคารและการเงินก็ดีพอสำหรับฉัน" อีกครั้งฉันไม่ใช่ผู้เชี่ยวชาญในพื้นที่นี้ แต่ฉันคิดว่าคนเหล่านี้คิดอย่างหนักเกี่ยวกับปัญหานี้และยินดีที่จะใช้ HTTPS ผู้ร่วมงานไม่เห็นด้วยและบอกว่า SOAP และ WS-Security เป็นวิธีเดียวที่จะไป เว็บดูเหมือนทั่วกระดานในเรื่องนี้ บางทีชุมชนที่นี่อาจชั่งน้ำหนักในข้อดีและข้อเสียของแต่ละคน? ขอบคุณ!

181 web-services  security  rest  soap 

ฉันพยายามที่จะทำให้วัตถุประสงค์ของ SecureString ของ. NET จาก MSDN: อินสแตนซ์ของคลาส System.String มีทั้งที่ไม่เปลี่ยนรูปและเมื่อไม่ต้องการอีกต่อไปไม่สามารถกำหนดตารางเวลาทางโปรแกรมสำหรับการรวบรวมขยะ นั่นคืออินสแตนซ์จะอ่านอย่างเดียวหลังจากที่มันถูกสร้างขึ้นและเป็นไปไม่ได้ที่จะทำนายว่าเมื่อใดที่อินสแตนซ์นั้นจะถูกลบออกจากหน่วยความจำคอมพิวเตอร์ ดังนั้นหากวัตถุ String มีข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านหมายเลขบัตรเครดิตหรือข้อมูลส่วนบุคคลมีความเสี่ยงที่ข้อมูลจะถูกเปิดเผยหลังจากใช้งานเพราะแอปพลิเคชันของคุณไม่สามารถลบข้อมูลออกจากหน่วยความจำคอมพิวเตอร์ วัตถุ SecureString คล้ายกับวัตถุ String ซึ่งมีค่าข้อความ อย่างไรก็ตามค่าของวัตถุ SecureString จะถูกเข้ารหัสโดยอัตโนมัติสามารถแก้ไขได้จนกว่าแอปพลิเคชันของคุณจะทำเครื่องหมายว่าเป็นแบบอ่านอย่างเดียวและสามารถลบได้จากหน่วยความจำคอมพิวเตอร์โดยแอปพลิเคชันของคุณหรือตัวรวบรวมขยะ. NET Framework ค่าของอินสแตนซ์ของ SecureString จะถูกเข้ารหัสโดยอัตโนมัติเมื่อเริ่มต้นอินสแตนซ์หรือเมื่อมีการปรับเปลี่ยนค่า แอปพลิเคชันของคุณสามารถแสดงผลอินสแตนซ์ไม่เปลี่ยนรูปและป้องกันการแก้ไขเพิ่มเติมโดยการเรียกใช้เมธอด MakeReadOnly การเข้ารหัสอัตโนมัติเป็นการจ่ายผลตอบแทนมหาศาลหรือไม่? และทำไมฉันไม่สามารถพูดได้: SecureString password = new SecureString("password"); แทน SecureString pass = new SecureString(); foreach (char c in "password".ToCharArray()) pass.AppendChar(c); SecureString ด้านใดที่ฉันขาดหายไป

179 .net  security  encryption 

การตรวจสอบความถูกต้องด้านไคลเอนต์หรือฝั่งเซิร์ฟเวอร์ดีกว่ากัน? ในสถานการณ์ของเราเรากำลังใช้ jQuery และ MVC ข้อมูล JSON ที่จะผ่านระหว่างมุมมองและตัวควบคุมของเรา การตรวจสอบจำนวนมากที่ฉันทำคือการตรวจสอบข้อมูลเมื่อผู้ใช้ป้อน ตัวอย่างเช่นฉันใช้keypressเหตุการณ์เพื่อป้องกันตัวอักษรในกล่องข้อความตั้งค่าจำนวนอักขระสูงสุดและตัวเลขอยู่ในช่วง ฉันเดาคำถามที่ดีกว่าจะมีประโยชน์ในการทำการตรวจสอบฝั่งเซิร์ฟเวอร์มากกว่าฝั่งลูกค้าหรือไม่ คำตอบที่น่ากลัวทุกคน เว็บไซต์ที่เรามีมีการป้องกันด้วยรหัสผ่านและสำหรับฐานผู้ใช้ขนาดเล็ก (<50) หากพวกเขาไม่ได้ใช้งาน JavaScript เราจะส่งนินจา แต่ถ้าเราออกแบบเว็บไซต์ให้กับทุกคนผมก็เห็นด้วยที่จะทำการตรวจสอบทั้งสองด้าน

179 javascript  security  validation