คำถามติดแท็ก security

ฉันได้ยินมาว่าการเปิดเผย ID ฐานข้อมูล (ใน URL เป็นต้น) เป็นความเสี่ยงด้านความปลอดภัย แต่ฉันมีปัญหาในการทำความเข้าใจว่าเหตุใด มีความคิดเห็นหรือลิงก์ว่าเหตุใดจึงเสี่ยงหรือเหตุใดจึงไม่เป็นเช่นนั้น แก้ไข: แน่นอนว่าการเข้าถึงนั้นถูกกำหนดขอบเขตไว้เช่นหากคุณไม่เห็นทรัพยากรfoo?id=123คุณจะได้รับหน้าข้อผิดพลาด มิฉะนั้น URL ควรเป็นความลับ แก้ไข: หาก URL เป็นความลับอาจมีโทเค็นที่สร้างขึ้นซึ่งมีอายุการใช้งาน จำกัด เช่นใช้ได้ 1 ชั่วโมงและใช้ได้เพียงครั้งเดียว แก้ไข (หลายเดือนต่อมา): แนวปฏิบัติที่ฉันต้องการในปัจจุบันคือการใช้ UUIDS สำหรับ ID และเปิดเผย ถ้าฉันใช้หมายเลขตามลำดับ (โดยปกติสำหรับประสิทธิภาพในบางฐานข้อมูล) เป็น ID ฉันชอบสร้างโทเค็น UUID สำหรับแต่ละรายการเป็นคีย์สำรองและเปิดเผยสิ่งนั้น

134 database  security 

ปิด. คำถามนี้ไม่เป็นไปตามหลักเกณฑ์กองมากเกิน ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่? อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับ Stack Overflow ปิดให้บริการใน2 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันมีโปรแกรมที่อ่านข้อมูลเซิร์ฟเวอร์จากไฟล์การกำหนดค่าและต้องการเข้ารหัสรหัสผ่านในการกำหนดค่านั้นซึ่งโปรแกรมของฉันสามารถอ่านและถอดรหัสได้ ข้อกำหนด: เข้ารหัสรหัสผ่านข้อความธรรมดาเพื่อเก็บไว้ในไฟล์ ถอดรหัสรหัสผ่านที่เข้ารหัสที่อ่านจากไฟล์จากโปรแกรมของฉัน มีคำแนะนำเกี่ยวกับวิธีการดำเนินการนี้หรือไม่? ฉันกำลังคิดที่จะเขียนอัลกอริทึมของตัวเอง แต่ฉันรู้สึกว่ามันไม่ปลอดภัยอย่างมาก

130 java  security  encryption  configuration  cryptography 

ฉันไม่ได้รับการเข้ารหัส Base64 ถ้าใครสามารถถอดรหัสสตริง Base64 มันมีจุดประสงค์อะไร? เหตุใดจึงใช้ HTTP Basic auth เหมือนกับการบอกคนอื่นว่ารหัสผ่านของฉันกลับเป็น OLLEH คนที่เห็น OLLEH จะรู้ว่ารหัสผ่านเดิมคือ HELLO

129 security  encryption  base64 

ฉันกำลังสร้างแอพมือถือและกำลังใช้ JWT สำหรับการพิสูจน์ตัวตน ดูเหมือนว่าวิธีที่ดีที่สุดในการทำเช่นนี้คือการจับคู่โทเค็นการเข้าถึง JWT กับโทเค็นการรีเฟรชเพื่อให้ฉันสามารถหมดอายุโทเค็นการเข้าถึงได้บ่อยเท่าที่ฉันต้องการ โทเค็นการรีเฟรชมีลักษณะอย่างไร มันเป็นสตริงสุ่มหรือไม่? สตริงนั้นเข้ารหัสหรือไม่ เป็น JWT อื่นหรือไม่? โทเค็นการรีเฟรชจะถูกเก็บไว้ในฐานข้อมูลบนโมเดลผู้ใช้สำหรับการเข้าถึงถูกต้องหรือไม่? ดูเหมือนว่าควรเข้ารหัสในกรณีนี้ ฉันจะส่งโทเค็นการรีเฟรชกลับหลังจากล็อกอินของผู้ใช้แล้วให้ไคลเอนต์เข้าถึงเส้นทางแยกต่างหากเพื่อดึงโทเค็นการเข้าถึงหรือไม่

129 security  authentication  oauth-2.0  jwt 

ฉันมีสคริปต์ python ซึ่งกำลังสร้างการเชื่อมต่อ ODBC การเชื่อมต่อ ODBC ถูกสร้างขึ้นด้วยสตริงการเชื่อมต่อ ในสตริงการเชื่อมต่อนี้ฉันต้องใส่ชื่อผู้ใช้และรหัสผ่านสำหรับการเชื่อมต่อนี้ มีวิธีง่ายๆในการปิดบังรหัสผ่านนี้ในไฟล์หรือไม่ (เพียงแค่ว่าไม่มีใครสามารถอ่านรหัสผ่านได้เมื่อฉันแก้ไขไฟล์)

128 python  security 

วิธีแปลงStringเป็นSecureString?

128 c#  .net  security  securestring 

จากการฟังบทสัมภาษณ์ของ Scott Hanselman กับทีม Stack Overflow ( ตอนที่ 1และ2 ) เขายืนกรานว่าเซิร์ฟเวอร์ SQL และเซิร์ฟเวอร์แอปพลิเคชันควรอยู่ในเครื่องแยกกัน นี่เป็นเพียงเพื่อให้แน่ใจว่าหากเซิร์ฟเวอร์หนึ่งถูกบุกรุกระบบทั้งสองจะไม่สามารถเข้าถึงได้หรือไม่? ความกังวลด้านความปลอดภัยมีมากกว่าความซับซ้อนของเซิร์ฟเวอร์สองเครื่อง (ค่าใช้จ่ายเพิ่มเติมการเชื่อมต่อเครือข่ายเฉพาะระหว่างทั้งสองเครื่องการบำรุงรักษาที่มากขึ้น ฯลฯ ) โดยเฉพาะอย่างยิ่งสำหรับแอปพลิเคชันขนาดเล็กที่ไม่มีหน่วยความจำใดใช้ CPU หรือหน่วยความจำมากเกินไป แม้จะมีเซิร์ฟเวอร์สองเครื่อง แต่เซิร์ฟเวอร์หนึ่งเครื่องถูกบุกรุก แต่ผู้โจมตีก็ยังสามารถสร้างความเสียหายร้ายแรงได้ไม่ว่าจะโดยการลบฐานข้อมูลหรือยุ่งกับรหัสแอปพลิเคชัน ทำไมเรื่องนี้ถึงเป็นเรื่องใหญ่ถ้าประสิทธิภาพไม่ใช่ปัญหา

127 database  security  networking  infrastructure  hardware-infrastructure 

หากฉันกำลังตั้งค่าเซิร์ฟเวอร์และมีใบรับรอง SSL เหตุใดฉันจึงไม่ใช้ HTTPS สำหรับทั้งไซต์แทนที่จะใช้เพียงการซื้อ / การเข้าสู่ระบบ ฉันคิดว่ามันจะสมเหตุสมผลกว่าที่จะเข้ารหัสทั้งไซต์และปกป้องผู้ใช้ทั้งหมด มันจะป้องกันไม่ให้เกิดปัญหาเช่นการตัดสินใจว่าอะไรจะต้องมีความปลอดภัยเพราะทุกอย่างจะเป็นเช่นนั้นและไม่ใช่เรื่องที่ไม่สะดวกสำหรับผู้ใช้ หากฉันใช้ HTTPS เป็นส่วนหนึ่งของไซต์อยู่แล้วเหตุใดฉันจึงไม่ต้องการใช้กับทั้งไซต์ นี่เป็นคำถามที่เกี่ยวข้อง: เหตุใดจึงใช้ https สำหรับล็อกอินเท่านั้น แต่คำตอบไม่น่าพอใจ คำตอบจะถือว่าคุณไม่สามารถใช้ https กับทั้งไซต์ได้

126 security  https 

ล็อค คำถามนี้และคำตอบถูกล็อกเนื่องจากคำถามไม่ตรงประเด็น แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ยังไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ แนวทางในการรักษาความปลอดภัยของเซสชันที่รับผิดชอบด้วย PHP มีอะไรบ้าง? มีข้อมูลอยู่ทั่วเว็บและถึงเวลาแล้วที่ทุกอย่างจะมารวมอยู่ในที่เดียว!

125 security  php 

เหตุใด iframe จึงถือว่าเป็นอันตรายและมีความเสี่ยงด้านความปลอดภัย ใครสามารถอธิบายตัวอย่างของกรณีที่สามารถนำไปใช้ในทางที่ผิด

125 html  security  iframe 

เมื่อเร็ว ๆ นี้ฉันต้องตั้งค่าAccess-Control-Allow-Originเป็น*เพื่อให้สามารถโทร ajax ข้ามโดเมนย่อยได้ ตอนนี้ฉันอดไม่ได้ที่จะรู้สึกว่ากำลังทำให้สภาพแวดล้อมเสี่ยงต่อความปลอดภัย โปรดช่วยฉันด้วยถ้าฉันทำผิด

124 ajax  security  cors 

โดยเฉพาะอย่างยิ่งเมื่อใช้คุกกี้เซสชันไคลเอนต์เพื่อระบุเซสชันบนเซิร์ฟเวอร์ เป็นคำตอบที่ดีที่สุดในการใช้การเข้ารหัส SSL / HTTPS สำหรับทั้งเว็บไซต์และคุณมีการรับประกันที่ดีที่สุดว่าจะไม่มีผู้ใดที่อยู่ในการโจมตีระดับกลางสามารถดักจับคุกกี้เซสชันไคลเอ็นต์ที่มีอยู่ได้? และอาจดีที่สุดเป็นอันดับสองในการใช้การเข้ารหัสบางประเภทกับค่าเซสชันที่เก็บไว้ในคุกกี้เซสชันของคุณ? หากผู้ใช้ที่ประสงค์ร้ายสามารถเข้าถึงเครื่องได้พวกเขายังสามารถดูที่ระบบไฟล์เพื่อดึงคุกกี้เซสชันที่ถูกต้องและใช้เพื่อจี้เซสชันได้หรือไม่?

124 security  session  cookies 

ฉันพยายามหาวิธีทดสอบหน่วยว่า URL ของคอนโทรลเลอร์ของฉันมีการรักษาความปลอดภัยอย่างเหมาะสมหรือไม่ ในกรณีที่มีคนเปลี่ยนแปลงสิ่งต่างๆรอบตัวและลบการตั้งค่าความปลอดภัยโดยไม่ได้ตั้งใจ วิธีการควบคุมของฉันมีลักษณะดังนี้: @RequestMapping("/api/v1/resource/test") @Secured("ROLE_USER") public @ResonseBody String test() { return "test"; } ฉันตั้งค่า WebTestEnvironment ดังนี้: import javax.annotation.Resource; import javax.naming.NamingException; import javax.sql.DataSource; import org.junit.Before; import org.junit.runner.RunWith; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.support.ClassPathXmlApplicationContext; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.web.FilterChainProxy; import org.springframework.test.context.ActiveProfiles; import org.springframework.test.context.ContextConfiguration; …

124 spring  security  model-view-controller  testing  junit 

ฉันจะใช้ oAuth เพื่อดึงอีเมลและรายชื่อติดต่อจาก Google ฉันไม่ต้องการขอให้ผู้ใช้ทุกครั้งที่เข้าสู่ระบบเพื่อรับโทเค็นการเข้าถึงและความลับ จากสิ่งที่ฉันเข้าใจฉันจำเป็นต้องจัดเก็บไว้กับแอปพลิเคชันของฉันทั้งในฐานข้อมูลหรือSharedPreferences. แต่ฉันค่อนข้างกังวลเกี่ยวกับด้านความปลอดภัยเกี่ยวกับเรื่องนี้ ฉันอ่านว่าคุณสามารถเข้ารหัสและถอดรหัสโทเค็นได้ แต่ผู้โจมตีเพียงแค่ถอดรหัส apk และคลาสของคุณและรับคีย์การเข้ารหัสนั้นเป็นเรื่องง่าย วิธีใดดีที่สุดในการจัดเก็บโทเค็นเหล่านี้อย่างปลอดภัยใน Android

123 android  security  oauth  preferences  token 

ฉันอ่านสิ่งนี้ในบทช่วยสอนการตอบสนอง สิ่งนี้หมายความว่า? React มีความปลอดภัย เราไม่ได้สร้างสตริง HTML ดังนั้นการป้องกัน XSS จึงเป็นค่าเริ่มต้น การโจมตี XSS ทำงานอย่างไรหาก React ปลอดภัย ความปลอดภัยนี้บรรลุได้อย่างไร?

119 reactjs  security  xss