คำถามติดแท็ก security

ฉันใช้ Oracle เพื่อการพัฒนา รหัสผ่านสำหรับบัญชี bootstrap ที่ฉันใช้เพื่อสร้างฐานข้อมูลของฉันใหม่หมดอายุแล้ว ฉันจะปิดการหมดอายุของรหัสผ่านสำหรับผู้ใช้นี้ (และผู้ใช้รายอื่นทั้งหมด) อย่างถาวรได้อย่างไร ฉันใช้ Oracle 11g ซึ่งมีรหัสผ่านหมดอายุตามค่าเริ่มต้น

177 oracle  security 

แต่ละหน้าในแอปพลิเคชัน MVC ฉันกำลังทำงานกับการตั้งค่าส่วนหัว HTTP เหล่านี้ในการตอบสนอง: X-Powered-By: ASP.NET X-AspNet-Version: 2.0.50727 X-AspNetMvc-Version: 2.0 ฉันจะป้องกันไม่ให้สิ่งเหล่านี้แสดงได้อย่างไร

176 asp.net-mvc  security  http-headers 

ฉันกำลังสร้างแอปพลิเคชันที่จะเก็บรหัสผ่านซึ่งผู้ใช้สามารถเรียกดูและดูได้ รหัสผ่านมีไว้สำหรับอุปกรณ์ฮาร์ดแวร์ดังนั้นการตรวจสอบกับแฮชนั้นเกิดจากคำถาม สิ่งที่ฉันต้องรู้คือ: ฉันจะเข้ารหัสและถอดรหัสรหัสผ่านใน PHP ได้อย่างไร อัลกอริทึมที่ปลอดภัยที่สุดในการเข้ารหัสรหัสผ่านคืออะไร? ฉันจะเก็บกุญแจส่วนตัวได้ที่ไหน แทนที่จะเก็บรหัสส่วนตัวเป็นความคิดที่ดีที่จะกำหนดให้ผู้ใช้ป้อนรหัสส่วนตัวทุกครั้งที่ต้องการรหัสผ่านหรือไม่ (ผู้ใช้แอปพลิเคชันนี้สามารถเชื่อถือได้) รหัสผ่านสามารถขโมยและถอดรหัสได้ในรูปแบบใด? ฉันต้องระวังอะไรบ้าง

174 php  security  encryption  passwords 

ในบริบทของกรอบการรักษาความปลอดภัย, คำไม่กี่มักเกิดขึ้นภายใต้ , ผู้ใช้และเงินต้นของที่ฉันยังไม่ได้สามารถที่จะหาคำนิยามที่ชัดเจนและความแตกต่างระหว่างพวกเขา ดังนั้นคำเหล่านี้มีความหมายว่าอะไรกันแน่และทำไมความแตกต่างของหัวข้อและอาจารย์ใหญ่จึงเป็นสิ่งจำเป็น?

173 java  spring-security  terminology  security 

คำถามนี้ไม่น่าจะช่วยผู้เข้าชมในอนาคต มันเกี่ยวข้องเฉพาะกับพื้นที่ทางภูมิศาสตร์ขนาดเล็กช่วงเวลาที่เฉพาะเจาะจงหรือสถานการณ์ที่แคบเป็นพิเศษซึ่งโดยทั่วไปไม่สามารถใช้ได้กับผู้ชมทั่วโลกของอินเทอร์เน็ต สำหรับความช่วยเหลือในการทำคำถามนี้มากขึ้นบังคับในวงกว้างไปที่ศูนย์ช่วยเหลือ ปิดให้บริการใน7 ปีที่ผ่านมา มีการใช้วิธีการเขียนโปรแกรมใดเพื่อเอาชนะ reCAPTCHA หรือไม่ ฉันสนใจที่จะเห็นหลักฐานและการสาธิตที่เป็นไปได้ที่ reCAPTCHA โดยเฉพาะนั้นล้าสมัยด้วยวิธีการอัตโนมัติและไร้มนุษย์อย่างสมบูรณ์ เพื่อความกระจ่างแจ้งไม่ใช่มองหาวิธีแก้ปัญหาการโกง reCAPTCHA ที่เกี่ยวข้องกับมนุษย์ไม่ว่าทางใดก็ตามไม่ว่าจะเป็นทีมที่ได้รับมอบหมายให้กรอก CAPCHAs ผู้ค้นหาสื่อลามกหรือเครื่องกลเติร์ก ฉันยังไม่ได้มองหาทางเลือก reCAPTCHA เช่นการเลือกประเภทของสัตว์หรือพื้นหลังหรือจาวาสคริปต์

172 security  captcha  ocr  recaptcha 

วิธีการทำงบเตรียมช่วยเราป้องกันการฉีด SQLการโจมตี? Wikipedia พูดว่า: คำสั่งที่เตรียมไว้มีความยืดหยุ่นต่อการฉีด SQL เนื่องจากค่าพารามิเตอร์ซึ่งถูกส่งในภายหลังโดยใช้โปรโตคอลที่แตกต่างกันจึงไม่จำเป็นต้องหลบหนีอย่างถูกต้อง หากเทมเพลตคำสั่งดั้งเดิมไม่ได้มาจากอินพุตภายนอกการฉีด SQL จะไม่เกิดขึ้น ฉันไม่เห็นเหตุผลที่ดีมาก อะไรจะเป็นคำอธิบายที่ง่ายในภาษาอังกฤษง่าย ๆ และตัวอย่างบางส่วน?

172 sql  security  sql-injection  prepared-statement 

สิ่งนี้ปลอดภัยกว่าMD5ธรรมดาแค่ไหน ฉันเพิ่งเริ่มมองหาการรักษาความปลอดภัยรหัสผ่าน ฉันค่อนข้างใหม่กับ PHP $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); …

169 php  security  passwords  salt  password-hash 

ฉันค้นหามากและอ่านเอกสาร PHP $ _SERVERด้วย ฉันมีสิทธิ์ที่จะใช้สำหรับสคริปต์ PHP ของฉันสำหรับคำจำกัดความลิงก์แบบง่ายที่ใช้ทั่วทั้งไซต์ของฉันหรือไม่? $_SERVER['SERVER_NAME'] ขึ้นอยู่กับไฟล์ปรับแต่งของเว็บเซิร์ฟเวอร์ของคุณ (Apache2 ในกรณีของฉัน) และแตกต่างกันไปตามคำสั่งไม่กี่: (1) VirtualHost, (2) ServerName, (3) UseCanonicalName ฯลฯ $_SERVER['HTTP_HOST'] ขึ้นอยู่กับการร้องขอจากลูกค้า $_SERVER['HTTP_HOST']ดังนั้นก็จะดูเหมือนกับผมว่าคนที่เหมาะสมที่จะใช้ในการที่จะทำให้ฉันเป็นสคริปต์ที่เข้ากันได้เป็นไปได้ที่จะเป็น สมมติฐานนี้ถูกต้องหรือไม่ ความคิดเห็นติดตามผล: ฉันเดาว่าฉันได้รับความหวาดระแวงเล็กน้อยหลังจากอ่านบทความนี้และสังเกตว่าคนบางคนพูดว่า "พวกเขาจะไม่เชื่อถือ$_SERVERvars ใด ๆ": http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/ http://php.net/manual/en/reserved.variables.server.php#89567 (ความคิดเห็น: Vladimir Kornea 14-Mar-2009 01:06) เห็นได้ชัดว่าการอภิปรายส่วนใหญ่เกี่ยวกับ$_SERVER['PHP_SELF']และทำไมคุณไม่ควรใช้ในแอตทริบิวต์การกระทำแบบฟอร์มโดยไม่ต้องหลบหนีที่เหมาะสมเพื่อป้องกันการโจมตี XSS ข้อสรุปของฉันเกี่ยวกับคำถามเดิมของฉันคือการ "ปลอดภัย" เพื่อใช้$_SERVER['HTTP_HOST']สำหรับลิงก์ทั้งหมดในเว็บไซต์โดยไม่ต้องกังวลเกี่ยวกับการโจมตี XSS แม้เมื่อใช้ในรูปแบบ โปรดแก้ไขฉันหากฉันผิด

167 php  apache  security  owasp 

ถ้าคุณต้องการตัวเลขที่แข็งแกร่งใน Java SecureRandomคุณใช้ น่าเสียดายที่SecureRandomอาจช้ามาก ถ้ามันใช้/dev/randomบน Linux มันสามารถบล็อกรอเอนโทรปีเพียงพอที่จะสร้างขึ้น คุณจะหลีกเลี่ยงบทลงโทษการแสดงได้อย่างไร? มีใครใช้Uncommon Mathsเป็นวิธีการแก้ปัญหานี้หรือไม่? ใครช่วยยืนยันว่าปัญหาประสิทธิภาพนี้ได้รับการแก้ไขใน JDK 6 หรือไม่

165 java  performance  security  random  entropy 

ฉันรู้ว่าเป็นไปได้ที่จะได้รับ HTTP_REFERER ว่างเปล่า สิ่งนี้จะเกิดขึ้นภายใต้สถานการณ์ใดบ้าง? หากฉันได้รับอันที่ว่างเปล่าหมายความว่าผู้ใช้เปลี่ยนหรือไม่ การรับอันที่ว่างเปล่าเหมือนกับการเอาอันว่างเปล่ามาใช่ไหม? และภายใต้สถานการณ์ใดที่ฉันจะได้รับเช่นกัน?

163 security  http  http-headers  cross-domain  http-referer 

ฉันกำลังทำหน้าเข้าสู่ระบบ ฉันมี UITextField สำหรับรหัสผ่าน เห็นได้ชัดว่าฉันไม่ต้องการให้เห็นรหัสผ่าน ฉันต้องการให้แวดวงแสดงเมื่อพิมพ์แทน คุณจะกำหนดให้ฟิลด์นี้เกิดขึ้นได้อย่างไร

162 ios  swift  iphone  security  ipad 

ฉันเข้าใจได้ว่าการกำหนดรหัสผ่านให้มีความยาวขั้นต่ำนั้นสมเหตุสมผล (เพื่อบันทึกผู้ใช้จากตัวเอง) แต่ธนาคารของฉันมีข้อกำหนดว่ารหัสผ่านมีความยาวระหว่าง 6 และ 8 ตัวอักษรและฉันเริ่มสงสัย ... นี่จะไม่ทำให้การโจมตีแบบเดรัจฉานง่ายขึ้นหรือไม่ (แย่) สิ่งนี้บอกเป็นนัยว่ารหัสผ่านของฉันถูกจัดเก็บแบบไม่เข้ารหัสหรือไม่? (แย่) หากผู้ที่มี (หวังว่า) ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีที่ดีบางคนที่ทำงานให้กับพวกเขากำลังกำหนดรหัสผ่านให้ยาวที่สุดฉันควรคิดถึงสิ่งที่คล้ายกันหรือไม่ ข้อดี / ข้อเสียของสิ่งนี้คืออะไร

162 security  encryption  passwords 

ฉันสงสัยว่ารหัสผ่าน Hasher ที่นำมาใช้เป็นค่าเริ่มต้นในUserManagerที่มาพร้อมกับ MVC 5 และ ASP.NET Identity Framework นั้นมีความปลอดภัยเพียงพอหรือไม่ และถ้าเป็นเช่นนั้นถ้าคุณสามารถอธิบายให้ฉันฟังว่ามันทำงานอย่างไร ส่วนต่อประสาน IPasswordHasher มีลักษณะเช่นนี้: public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } อย่างที่คุณเห็นมันไม่ใช้เกลือ แต่มีการกล่าวถึงในหัวข้อนี้: "การแฮ็กรหัสผ่าน Asp.net Identity " ซึ่งจะทำให้เกลือเค็มอยู่เบื้องหลัง ดังนั้นฉันสงสัยว่ามันจะทำอย่างไร และเกลือนี้มาจากไหน? ความกังวลของฉันคือเกลือนั้นคงที่ทำให้มันไม่ปลอดภัย

162 c#  asp.net  security  passwords  asp.net-identity 

ฉันเพิ่งทดลองใช้ Docker เมื่อไม่นานมานี้เกี่ยวกับการสร้างบริการบางอย่างเพื่อเล่นกับและสิ่งหนึ่งที่ทำให้ฉันจู้จี้ได้ใส่รหัสผ่านใน Dockerfile ฉันเป็นนักพัฒนาดังนั้นการจัดเก็บรหัสผ่านในแหล่งที่มารู้สึกเหมือนเป็นหมัดต่อหน้า นี่ควรเป็นปัญหาไหม? มีวิธีการจัดการรหัสผ่านที่ดีใน Dockerfiles หรือไม่?

162 security  build  docker 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน2 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันต้องพัฒนาเว็บแอปพลิเคชันที่จะทำงานแบบออฟไลน์เป็นเวลานาน เพื่อให้สิ่งนี้เป็นไปได้ฉันไม่สามารถหลีกเลี่ยงการบันทึกข้อมูลที่ละเอียดอ่อน (ข้อมูลส่วนบุคคล แต่ไม่ใช่ชนิดข้อมูลที่คุณจะเก็บแฮชเท่านั้น) ในที่จัดเก็บในตัวเครื่อง ฉันยอมรับว่านี่ไม่ใช่วิธีปฏิบัติที่แนะนำ แต่มีตัวเลือกเล็กน้อยที่ฉันทำต่อไปนี้เพื่อรักษาความปลอดภัยข้อมูล: การเข้ารหัสทุกอย่างที่อยู่ในที่จัดเก็บในตัวเครื่องโดยใช้ไลบรารี stanford javascript crypto และ AES-256 รหัสผ่านผู้ใช้เป็นรหัสการเข้ารหัสและไม่ได้เก็บไว้ในอุปกรณ์ ให้บริการเนื้อหาทั้งหมด (เมื่อออนไลน์) จากเซิร์ฟเวอร์ที่เชื่อถือได้เดียวผ่าน ssl การตรวจสอบความถูกต้องของข้อมูลทั้งหมดที่ไปและกลับจากที่จัดเก็บในตัวเครื่องบนเซิร์ฟเวอร์โดยใช้โครงการ antaspam ของ owasp ในส่วนเครือข่ายของ appcache ไม่ใช่ใช้ * และแสดงรายการเฉพาะ URIs ที่จำเป็นสำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ที่เชื่อถือได้แทน โดยทั่วไปแล้วพยายามใช้แนวทางที่แนะนำในแผ่นโกง OWASP XSS ฉันขอขอบคุณที่ปีศาจมักจะอยู่ในรายละเอียดและรู้ว่ามีจำนวนมากสงสัยเกี่ยวกับการจัดเก็บในท้องถิ่นและการรักษาความปลอดภัยตามจาวาสคริปต์โดยทั่วไป ทุกคนสามารถแสดงความคิดเห็นว่ามี: ข้อบกพร่องพื้นฐานในแนวทางข้างต้น? วิธีแก้ปัญหาที่เป็นไปได้สำหรับข้อบกพร่องดังกล่าว? มีวิธีใดที่ดีกว่าในการรักษาความปลอดภัยที่จัดเก็บในตัวเครื่องเมื่อแอปพลิเคชัน html 5 ต้องทำงานแบบออฟไลน์เป็นเวลานาน ขอบคุณสำหรับความช่วยเหลือใด ๆ

161 html  security  local-storage  html5-appcache  owasp