คำถามติดแท็ก security

ฉันเริ่มเข้าสู่ระบบล้มเหลวในการพยายามเข้าสู่ระบบบนเว็บไซต์ของฉันด้วยข้อความเช่น Failed login attempt by qntmfred ฉันสังเกตว่าบันทึกเหล่านี้มีลักษณะเป็นอย่างไร Failed login attempt by qntmfredmypassword ฉันเดาว่าบางคนมีการเข้าสู่ระบบที่ล้มเหลวเพราะพวกเขาพิมพ์ชื่อผู้ใช้และรหัสผ่านในฟิลด์ชื่อผู้ใช้ รหัสผ่านถูกแฮชในฐานข้อมูล แต่ถ้าฐานข้อมูลถูกบุกรุกข้อความล็อกเหล่านี้อาจเป็นวิธีที่ผู้โจมตีสามารถคิดรหัสผ่านสำหรับจำนวนเปอร์เซ็นต์ของผู้คนที่มีการล็อกอินล้มเหลวเช่นนี้ มีวิธีที่ดีกว่าในการจัดการกับเรื่องนี้? ฉันควรกังวลเกี่ยวกับความเป็นไปได้นี้หรือไม่?

38 web-development  security 

คำถามของฉันเกี่ยวกับความปลอดภัย JavaScript ลองนึกภาพระบบการรับรองความถูกต้องที่คุณใช้เฟรมเวิร์ก JavaScript เช่นBackboneหรือAngularJSและคุณต้องการจุดปลายที่ปลอดภัย นั่นไม่ใช่ปัญหาเนื่องจากเซิร์ฟเวอร์มีคำสุดท้ายเสมอและจะตรวจสอบว่าคุณได้รับอนุญาตให้ทำสิ่งที่คุณต้องการหรือไม่ แต่ถ้าคุณต้องการความปลอดภัยเล็กน้อยโดยไม่ต้องเกี่ยวข้องกับเซิร์ฟเวอร์ล่ะ เป็นไปได้ไหม ตัวอย่างเช่นสมมติว่าคุณมีระบบการกำหนดเส้นทางฝั่งไคลเอ็นต์และคุณต้องการให้มีการป้องกันเส้นทางที่เป็นรูปธรรมสำหรับผู้ใช้ที่เข้าสู่ระบบ ดังนั้นคุณจึง ping เซิร์ฟเวอร์ถามว่าคุณได้รับอนุญาตให้เยี่ยมชมเส้นทางที่มีการป้องกันและคุณไป ปัญหาคือเมื่อคุณ ping เซิร์ฟเวอร์คุณจัดเก็บการตอบสนองในตัวแปรดังนั้นในครั้งต่อไปที่คุณไปเส้นทางส่วนตัวจะตรวจสอบว่าคุณเข้าสู่ระบบแล้ว (ไม่ ping ไปยังเซิร์ฟเวอร์) และขึ้นอยู่กับ ในการตอบสนองมันจะไปหรือไม่ ผู้ใช้สามารถปรับเปลี่ยนตัวแปรนั้นและเข้าถึงได้ง่ายแค่ไหน? ความรู้เกี่ยวกับความปลอดภัย (และ JavaScript) ของฉันไม่ได้ยอดเยี่ยม แต่ถ้าตัวแปรไม่ได้อยู่ในขอบเขตทั่วโลกและอยู่ในส่วนส่วนตัวของรูปแบบโมดูลซึ่งมีเพียง getters แต่ไม่ใช่ setters แม้ในกรณีนั้นคุณสามารถแฮ็คสิ่งนั้นได้หรือไม่

37 javascript  security  browser  hacking 

ในขณะที่ทำงานในโครงการสำหรับ บริษัท ของฉันฉันจำเป็นต้องสร้างฟังก์ชันการทำงานที่อนุญาตให้ผู้ใช้นำเข้า / ส่งออกข้อมูลไปยัง / จากเว็บไซต์ของคู่แข่งของเรา ในขณะที่ทำสิ่งนี้ฉันค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงซึ่งอาจกล่าวได้ว่าในสคริปต์ของเว็บไซต์ของคู่แข่ง ความรู้สึกตามธรรมชาติของฉันคือการรายงานปัญหาให้กับพวกเขาในจิตวิญญาณของความปรารถนาดี การเอารัดเอาเปรียบปัญหาเพื่อให้ได้เปรียบได้ใจ แต่ฉันไม่ต้องการที่จะลงเส้นทางที่ ดังนั้นคำถามของฉันคือคุณจะรายงานช่องโหว่ที่ร้ายแรงต่อการแข่งขันโดยตรงของคุณเพื่อช่วยเหลือพวกเขาหรือไม่? หรือคุณจะปิดปากของคุณ? มีวิธีที่ดีกว่าในการทำสิ่งนี้หรืออาจได้รับประโยชน์จากข้อเท็จจริงที่ว่าฉันช่วยพวกเขาด้วยการรายงานปัญหา อัปเดต (ชี้แจง) : ขอบคุณสำหรับคำติชมทั้งหมดของคุณฉันขอขอบคุณ คำตอบของคุณจะเปลี่ยนแปลงหรือไม่ถ้าฉันจะเพิ่มว่าการแข่งขันในคำถามเป็นพฤติกรรมที่สำคัญในตลาด (พนักงานหลายร้อยคนในหลายทวีป) และ บริษัท ของฉันเริ่มต้นเมื่อไม่กี่สัปดาห์ที่ผ่านมา (พนักงานสามคน)? มันไปโดยไม่บอกพวกเขาแน่นอนที่สุดจะไม่จดจำเราและหากมีอะไรเพียงตระหนักว่าเว็บไซต์ของพวกเขาต้องการทำงาน (ซึ่งเป็นเหตุผลที่เราเข้าสู่ตลาดนี้ในตอนแรก) นี่อาจเป็นหนึ่งในคุณธรรมและการทำธุรกิจ แต่ฉันขอขอบคุณคำแนะนำทั้งหมด

37 business  security  ethics  vulnerabilities 

มันยังคุ้มกับการปกป้องซอฟต์แวร์ของเราจากการละเมิดลิขสิทธิ์หรือไม่? มีวิธีที่มีประสิทธิภาพพอสมควรในการป้องกันหรืออย่างน้อยทำให้การละเมิดลิขสิทธิ์ทำได้ยากหรือไม่?

37 security 

ปัจจุบันฉันได้รับแอปพลิเคชั่นในที่ทำงานและทำให้ฉันตกใจฉันรู้ว่ารหัสผ่านผู้ใช้ที่เก็บไว้ในฐานข้อมูลนั้นถูกเข้ารหัสโดยใช้ฟังก์ชั่นการเข้ารหัสในบ้านซึ่งรวมถึงความสามารถในการถอดรหัส ดังนั้นทุกคนต้องทำจริงๆคือคัดลอกตารางผู้ใช้และคัดลอกชุดการเข้ารหัส (ทุกคนที่มีการเข้าถึงฐานข้อมูลการผลิต) จากนั้นพวกเขาจะสามารถเข้าถึงที่อยู่อีเมล 100,000 และรหัสผ่านที่เป็นไปได้สำหรับพวกเขา ฉันพยายามอธิบายให้ธุรกิจเข้าใจว่าทำไมมันถึงไม่ใช่ความคิดที่ดี แต่แนวคิดเรื่องความปลอดภัยดูเหมือนจะครอบคลุมไปทั่วเพราะพวกเขาไม่ได้คิดในเชิงเทคนิค (เป็นเรื่องของรัฐบาล) นอกจากนี้ยังมีฟังก์ชั่นการใช้งานที่มีอยู่ภายในแอปพลิเคชันสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบเพื่อดึงรหัสผ่านของผู้ใช้เพื่อเข้าสู่ระบบในฐานะผู้ใช้และทำสิ่งต่าง ๆ ดังนั้นพวกเขาจึงไม่เข้าใจความหมายของความปลอดภัย และเพื่อที่จะใช้นโยบายความปลอดภัยที่เข้มงวดขึ้น (รหัสผ่านการแฮชเพื่อให้ไม่สามารถเรียกคืนได้ง่าย) ฉันต้องลบฟังก์ชันการทำงานที่มีอยู่ออก ฉันควรทำอย่างไร? ฉันไม่ได้สร้างระบบรหัสผ่านในตอนแรกดังนั้นจึงไม่เหมือนกับว่าฉันถูกตำหนิหากมีสิ่งใดผิดพลาด ในทางกลับกันฉันรู้สึกไม่ดีเกี่ยวกับเรื่องนี้และฉันก็ไม่ต้องการที่จะเข้าถึงการเข้าสู่ระบบอีเมลที่มีศักยภาพ 100,000 รายการ

34 security  client-relations  passwords 

เรามี givens ไม่กี่: นักพัฒนาต้องการจำลองฐานข้อมูลการผลิตบนเครื่องของพวกเขา นักพัฒนามีรหัสผ่านเพื่อกล่าวว่าฐานข้อมูลในไฟล์ App.config เราไม่ต้องการให้ข้อมูลในฐานข้อมูลดังกล่าวถูกบุกรุก แนวทางแก้ไขปัญหาที่แนะนำและข้อเสีย: เต็มรูปแบบดิสก์เข้ารหัส วิธีนี้จะช่วยแก้ปัญหาทั้งหมด แต่ลดประสิทธิภาพของแล็ปท็อปลงและเรากำลังเริ่มต้นขึ้นดังนั้นอย่ามีเงินสำหรับนักเขียน การสร้าง VM ด้วยฮาร์ดดิสก์ที่เข้ารหัสและเก็บฐานข้อมูลไว้ มันใช้งานได้ดี แต่ก็ไม่ได้ช่วยอะไรมากนักเนื่องจากมีรหัสผ่านใน Web.Config โซลูชันหมายเลข 2 + ต้องการให้ผู้พัฒนาพิมพ์รหัสผ่านฐานข้อมูลทุกครั้งที่เขารันอะไร มันแก้ปัญหาทั้งหมด แต่มันยุ่งยากสำหรับนักพัฒนาที่บางครั้งไฟแอพพลิเคชั่นหลายครั้งต่อนาที นอกจากนี้เรายังมีแอพพลิเคชั่นหลายตัวที่เชื่อมต่อกับฐานข้อมูลเดียวกันและการใช้งานหน้าจอรหัสผ่านจะต้องแตกต่างกันไปในแต่ละโปรแกรม ดังนั้นคำถามของฉันคือหากมีวิธีแก้ไขปัญหาดังกล่าวร่วมกันหรือข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการแก้ปัญหาข้างต้นใช้งานได้?

33 database  security 

เมื่อทำงานกับไซต์ที่ใช้ทรัพยากร (เช่นแอปพลิเคชัน MVC หรือบริการ REST) ​​เรามีสองตัวเลือกหลักเมื่อไคลเอ็นต์พยายามเข้าถึงGETทรัพยากรที่พวกเขาไม่สามารถเข้าถึง: 403ซึ่งบอกว่าลูกค้าไม่ได้รับอนุญาต ; หรือ 404ซึ่งบอกว่าไม่มีทรัพยากร(หรือไม่สามารถหาได้) ภูมิปัญญาทั่วไปและการปฏิบัติทั่วไปดูเหมือนว่าจะตอบสนองกับความจริง - นั่นคือ 403 แต่ฉันสงสัยว่านี่เป็นสิ่งที่ถูกต้องหรือไม่ ระบบการเข้าสู่ระบบที่ปลอดภัยไม่เคยบอกเหตุผลที่ทำให้การล็อกอินล้มเหลว กล่าวคือตราบใดที่ลูกค้ามีความกังวลไม่มีความแตกต่างที่ตรวจพบได้ระหว่างชื่อผู้ใช้ที่ไม่มีอยู่และรหัสผ่านที่ไม่ถูกต้อง วัตถุประสงค์คือเพื่อไม่ให้ ID ผู้ใช้ - หรือที่แย่กว่านั้นคือที่อยู่อีเมล - ค้นพบได้ จากมุมมองความเป็นส่วนตัวดูเหมือนว่าปลอดภัยกว่าที่จะคืนค่า 404 ฉันนึกถึงเหตุการณ์ที่มีคนรายงานว่ามีผู้ชนะรายการเรียลลิตี้โชว์ (ผู้รอดชีวิตฉันคิดว่า) โดยดูว่าทรัพยากรใดไม่มีอยู่ใน ไซต์กับสิ่งที่ทำ ฉันกังวลเกี่ยวกับ 403 ที่อาจให้ข้อมูลที่ละเอียดอ่อนเช่นหมายเลขผลิตภัณฑ์หรือหมายเลขบัญชี มีเหตุผลที่น่าสนใจที่จะไม่ส่งคืน 404 หรือไม่? นโยบาย 404 อาจมีผลข้างเคียงเชิงลบหรือไม่ ถ้าไม่เป็นเช่นนั้นทำไมการปฏิบัติจึงไม่เป็นเรื่องปกติ

33 web-development  web-applications  security  web-services  privacy 

คำถามบอกว่ามันทั้งหมดจริงๆ ฉันต้องการให้บริการ แต่ฉันไม่ต้องการเก็บข้อมูลใด ๆ ด้วยตัวเองในฐานข้อมูล จากข่าวล่าสุดเกี่ยวกับการแฮ็กข้อมูล ฯลฯ ดูเหมือนว่าฉันจะดีกว่าที่ลูกค้าสามารถควบคุมข้อมูลได้อย่างสมบูรณ์ ปัญหาคือข้อมูลที่เก็บไว้อาจอ่อนไหว สิ่งที่ฉันจะทำคือ ... เมื่อลูกค้าเยี่ยมชมเว็บไซต์จะมีคำถามถามว่า 'คุณใช้คอมพิวเตอร์ส่วนบุคคลหรือคอมพิวเตอร์สาธารณะ' หากพวกเขาอยู่ในคอมพิวเตอร์สาธารณะไซต์จะปฏิเสธการเข้าถึง หากพวกเขาอยู่บนคอมพิวเตอร์ส่วนบุคคลมันจะพร้อมท์ให้พวกเขาตั้งรหัสผ่าน ข้อมูลทั้งหมดของพวกเขาจะถูกเข้ารหัสด้วยรหัสผ่านนี้ ตอนนี้เห็นได้ชัดว่ามันไม่ปลอดภัยเกินไป วิธีการเข้ารหัสจะอยู่ใน JavaScript และรหัสผ่านเป็นข้อความธรรมดาดังนั้นฉันคิดว่ามันเป็นไปได้สำหรับผู้ใช้ที่มีความชำนาญในการค้นหารหัสผ่านใน localStorage และเข้าถึงข้อมูล ฉันรู้สึกว่านี่ไม่ใช่ปัญหามากเกินไป หากคุณใช้คอมพิวเตอร์ส่วนบุคคลโอกาสในการเกิดเหตุการณ์นี้จะอยู่ในระยะไกลเนื่องจาก ... คนอื่นจะต้องเข้าถึงบัญชีผู้ใช้เฉพาะของพวกเขาบนคอมพิวเตอร์คนอื่นจะต้องรู้เกี่ยวกับเว็บไซต์ ... คนอื่นจะต้องเข้าใจ localStorage และวิธีการเข้าถึง ข้อมูลที่ละเอียดอ่อนไม่ใช่สิ่งใดที่จะลดความเป็นตัวตนของพวกเขาหรือสิ่งอื่นใด เพียงบันทึกสิ่งที่คนส่วนใหญ่ไม่ต้องการเผยแพร่ต่อสาธารณะ ดังนั้นคำถามคือ localStorage ปลอดภัยเพียงพอหรือไม่ คำถามเพิ่มเติม .. การล้างข้อมูลในพื้นที่เก็บข้อมูลทำได้อย่างไร ฉันไม่ต้องการให้ผู้ใช้ลบข้อมูลโดยไม่ตั้งใจ สุดท้าย - มันคุ้มค่าในการเข้ารหัส / ถอดรหัสข้อมูลของพวกเขาราวกับว่าคุณมีรหัสผ่านที่คุณสามารถเข้าถึงเว็บไซต์ ..

33 javascript  security 

คุณรักษาแอปพลิเคชันที่มีอยู่ด้วยฐานผู้ใช้ที่สร้างไว้แล้ว เมื่อเวลาผ่านไปมีการตัดสินใจว่าเทคนิคการแฮ็กรหัสผ่านปัจจุบันล้าสมัยและจำเป็นต้องอัพเกรด นอกจากนี้สำหรับเหตุผล UX คุณไม่ต้องการให้ผู้ใช้ปัจจุบันถูกบังคับให้อัปเดตรหัสผ่านของพวกเขา การอัพเดตการแฮชรหัสผ่านทั้งหมดต้องเกิดขึ้นหลังหน้าจอ สมมติว่าฐานข้อมูล 'ง่าย' สำหรับผู้ใช้ที่มี: ID อีเมล์ รหัสผ่าน วิธีการหนึ่งที่จะแก้ไขข้อกำหนดดังกล่าวได้อย่างไร ความคิดปัจจุบันของฉันคือ: สร้างวิธีการแฮ็กใหม่ในชั้นเรียนที่เหมาะสม อัพเดตตารางผู้ใช้ในฐานข้อมูลเพื่อเก็บฟิลด์รหัสผ่านเพิ่มเติม เมื่อผู้ใช้เข้าสู่ระบบสำเร็จโดยใช้แฮรหัสผ่านที่ล้าสมัยแล้วให้กรอกฟิลด์รหัสผ่านที่สองด้วยแฮชที่อัปเดต สิ่งนี้ทำให้ฉันมีปัญหาที่ฉันไม่สามารถแยกความแตกต่างที่สมเหตุสมผลระหว่างผู้ใช้ที่มีและผู้ที่ไม่ได้อัพเดตแฮชรหัสผ่านของพวกเขาและจะถูกบังคับให้ตรวจสอบทั้งสองอย่าง ดูเหมือนว่ามีข้อบกพร่องอย่างน่ากลัว นอกจากนี้โดยทั่วไปหมายความว่าเทคนิคการแปลงแป้นพิมพ์แบบเก่าอาจถูกบังคับให้อยู่ต่อไปเรื่อย ๆ จนกว่าผู้ใช้ทุกคนจะอัปเดตรหัสผ่านของตน ในขณะนั้นฉันสามารถเริ่มลบการตรวจสอบการแฮชเก่าและลบฟิลด์ฐานข้อมูลฟุ่มเฟือย ฉันกำลังมองหาเคล็ดลับการออกแบบที่นี่เป็นส่วนใหญ่เนื่องจาก 'โซลูชัน' ปัจจุบันของฉันสกปรกไม่สมบูรณ์และไม่มีอะไร แต่ถ้าต้องการรหัสจริงเพื่ออธิบายวิธีแก้ไขที่เป็นไปได้อย่าลังเลที่จะใช้ภาษาใด ๆ

32 security  language-agnostic  passwords 

ฉันมีโครงการที่ฉันต้องการอนุญาตให้ผู้ใช้เรียกใช้รหัสหลามที่ไม่น่าเชื่อถือ ( เช่นนี้ ) กับเซิร์ฟเวอร์ของฉัน ฉันค่อนข้างใหม่สำหรับงูใหญ่และฉันต้องการหลีกเลี่ยงการทำผิดพลาดใด ๆ ที่แนะนำช่องโหว่ด้านความปลอดภัยหรือช่องโหว่อื่น ๆ เข้าสู่ระบบ มีแนวทางปฏิบัติที่ดีที่สุดให้อ่านแนะนำหรือตัวชี้อื่น ๆ ที่คุณสามารถให้บริการของฉันใช้งานได้ แต่ไม่สามารถใช้งานได้? นี่คือสิ่งที่ฉันพิจารณาแล้ว: ลบออก__builtins__จากบริบทที่จะห้ามการใช้งานของแพคเกจที่อาจเป็นอันตรายเช่นexec osผู้ใช้จะสามารถใช้แพ็คเกจที่ฉันให้ไว้ได้เท่านั้น ใช้เธรดเพื่อบังคับใช้การหมดเวลาที่เหมาะสม ฉันต้องการ จำกัด จำนวนหน่วยความจำทั้งหมดที่สามารถจัดสรรได้ภายในexecบริบท แต่ฉันไม่แน่ใจว่าเป็นไปได้หรือไม่ มีทางเลือกตรงไปตรงมาexecแต่ฉันไม่แน่ใจว่าสิ่งเหล่านี้จะเป็นประโยชน์ที่นี่: การใช้ast.NodeVisitorเพื่อตรวจจับการพยายามเข้าถึงวัตถุที่ไม่ปลอดภัย แต่ฉันควรห้ามวัตถุอะไร ค้นหาเครื่องหมายขีดล่างคู่ใด ๆ ในอินพุต (สง่างามน้อยกว่าตัวเลือกด้านบน) การใช้PyPyหรือสิ่งที่คล้ายกับรหัส sandbox หมายเหตุ:ฉันทราบว่ามีล่ามที่ใช้ JavaScript อย่างน้อยหนึ่งตัว ที่จะไม่ทำงานในสถานการณ์ของฉัน

31 python  security  web-services 

ฉันอาสาสอนชมรมคอมพิวเตอร์หลังเลิกเรียนที่โรงเรียนมัธยมต้นของลูกชายฉัน ไวรัสคอมพิวเตอร์มีความสนใจเป็นอย่างมาก ฉันคิดว่าจะแสดงให้พวกเขาเห็นถึงวิธีการสร้างไวรัสไฟล์แบตช์อย่างง่ายซึ่งจะแพร่เชื้อแบตช์ไฟล์อื่น ๆ ในไดเรกทอรีเดียวกัน แสดงวิธีสร้างไฟล์แบตช์ด้วยชื่อเดียวกัน แต่ที่ใกล้เคียงกับพา ธ สามารถแทนที่โปรแกรมอื่นได้ นอกจากนี้ยังอาจอนุญาตให้มีการอภิปรายเกี่ยวกับเทคนิคการต่อต้านไวรัส - รู้จักไวรัสและไวรัสเช่นพฤติกรรม ฉันพูดถึงความคิดนี้กับภรรยาของฉันและเธอคิดว่ามันเป็นความคิดที่แย่มาก เปรียบเทียบกับการมอบอาวุธให้พวกเขา ฉันไม่เห็นว่าอันตรายเพราะเทคนิคนี้จะไม่สามารถใช้งานได้ทันทีสำหรับความเสียหายจริง ๆ ในระบบปฏิบัติการที่ทันสมัย ฉันเป็นคนขี่ม้ามากเกินไปหรือเธอเป็นกังวลเกินไป? นี่ไม่ใช่คำถามที่โต้แย้งสำหรับฉันฉันแค่พยายามหาความคิดเห็นอื่น อัปเดต : ฉันไม่ได้วางแผนที่จะครอบคลุมการย้ายระหว่างระบบ (หรือแม้กระทั่งไดเรกทอรี) หรือพฤติกรรมที่เป็นอันตราย และเพื่อไม่ให้ใครคิดว่าฉันเปิดเผยความลับดำมืดลึก ๆ นี่คือหนังสือจากปี 1996 ที่ฉันพบที่ห้องสมุดที่ให้รายละเอียดมากกว่าที่ฉันคาดไว้ หากบางคนมีแรงจูงใจที่จะเป็นอันตรายพวกเขาจะหาวิธี

31 security  ethics 

ฉันไม่เข้าใจเหตุผลที่ทำให้การเรียกร้อง / น้ำหนักบรรทุกของ JWT เปิดเผยต่อสาธารณชนหลังจาก base64 ถอดรหัส ทำไม? ดูเหมือนว่ามันจะมีประโยชน์มากกว่าที่จะเข้ารหัสด้วยความลับ บางคนสามารถอธิบายได้ว่าทำไมหรือในสถานการณ์ใดการทำให้ข้อมูลนี้เป็นประโยชน์ต่อสาธารณะ

30 security  json  authentication  jwt 

ฉันอ่านเธรด Hacker Newsที่ผู้ใช้รายหนึ่งโพสต์ลิงก์จาก 2011 อธิบายว่าIIS เร็วกว่าเว็บเซิร์ฟเวอร์ (* nix) ส่วนใหญ่ ตอบกลับผู้ใช้คนอื่นอธิบายว่า IIS ได้รับประโยชน์ที่โดยมีเคอร์เนลโมดูลที่เรียกว่า HTTP.sys ตามความรู้ของฉันเว็บเซิร์ฟเวอร์ยอดนิยมอื่น ๆ ส่วนใหญ่ในปี 2015 ไม่ได้ทำเช่นนี้ ฉันจะไม่ต้องการเขียนเว็บเซิร์ฟเวอร์ในโหมดเคอร์เนลเพราะฉันไม่สามารถเชื่อใจตัวเองได้ว่าจะทำให้ปราศจากช่องโหว่ด้านความปลอดภัย (ซึ่งจะทำงานน้อยลงในวงแหวนป้องกันที่ต่ำกว่า) จากมุมมองของวิศวกรซอฟต์แวร์ (เมื่อเทียบกับลูกค้าสำหรับเว็บเซิร์ฟเวอร์) การทำงานในโหมดเคอร์เนลเป็นการตัดสินใจที่มีประสิทธิภาพหรือไม่? ความกังวลด้านความปลอดภัยสามารถลดลงในการพัฒนาแอปพลิเคชันจนถึงจุดที่ทำให้เซิร์ฟเวอร์โหมดเคอร์เนลเป็นกำไรสุทธิสำหรับผู้บริโภคได้หรือไม่?

28 security  operating-systems  iis  web-servers  apache2 

ฉันได้รับมอบหมายให้พัฒนาการรวมเข้ากับหนึ่งในแอปพลิเคชันของนายจ้างกับระบบภายนอกที่ลูกค้าของเราพัฒนาขึ้น ข้อกำหนดของลูกค้าของเราสำหรับการรวมที่มีข้อบกพร่องที่เห็นได้ชัดบางอย่างที่เกี่ยวข้องกับความปลอดภัย ข้อบกพร่องจะอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงระบบเพื่อดูข้อมูลที่ถูก จำกัด ฉันได้ชี้ให้เห็นข้อบกพร่องและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นหากมีการใช้งานตามที่ออกแบบไว้และให้ทางเลือกอื่นโดยไม่มีข้อบกพร่อง แต่มีการบอกว่า "ทำตามที่เราระบุ" โดยลูกค้า โปรแกรมเมอร์มีความรับผิดชอบด้านจริยธรรมหรือไม่ที่จะติดตั้งรหัสด้วยความเสี่ยงด้านความปลอดภัยที่รู้จักหรือไม่? ความต้องการของลูกค้าในจุดใดที่เกินความรับผิดชอบด้านจริยธรรมที่เรามีในฐานะนักพัฒนาซอฟต์แวร์เพื่อสร้างแอปพลิเคชันที่ปลอดภัย?

28 architecture  security  ethics  specifications 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน6 ปีที่ผ่านมา การตรวจสอบการป้อนข้อมูลเป็นเรื่องยากสำหรับฉัน ในการเพิ่มกรอบความปลอดภัยและรหัสจริงลงในโครงการเขียนแอปพลิเคชันดั้งเดิมของเรา (ซึ่งตอนนี้ค่อนข้างจะรักษารหัสรักษาความปลอดภัยดั้งเดิมและการตรวจสอบความถูกต้องของข้อมูล) ฉันสงสัยอีกครั้งว่าควรจะตรวจสอบมากแค่ไหน ที่ไหน ฯลฯ ตลอด 5 ปีที่ฉันเป็นนักพัฒนา Java มืออาชีพฉันได้สร้างและปรับปรุงกฎส่วนบุคคลของฉันสำหรับการตรวจสอบความถูกต้องของข้อมูลและมาตรการรักษาความปลอดภัย เมื่อฉันต้องการปรับปรุงวิธีการของฉันฉันอยากได้ยินความคิดเห็นจากพวกคุณ กฎและโพรซีเดอร์ทั่วไปนั้นใช้ได้ดีและจาวาเฉพาะก็เช่นกัน สรุปนี่คือแนวทางของฉัน (เปิดเผยในรูปแบบเว็บแอปพลิเคชัน 3 ระดับ) พร้อมคำอธิบายสั้น ๆ : ฝั่งไคลเอ็นต์ชั้นที่ 1 (เบราว์เซอร์): การตรวจสอบความถูกต้องน้อยที่สุด, กฎที่ไม่เปลี่ยนแปลงเท่านั้น (ฟิลด์อีเมลบังคับ, ต้องเลือกหนึ่งรายการ, และอื่น ๆ ที่คล้ายกัน); การใช้การตรวจสอบเพิ่มเติมเช่น "ระหว่าง 6 ถึง 20 ตัวอักษร" น้อยลงเนื่องจากจะเป็นการเพิ่มการบำรุงรักษาในการเปลี่ยนแปลง (อาจเพิ่มเมื่อรหัสธุรกิจมีเสถียรภาพ); ฝั่งเซิร์ฟเวอร์ระดับที่ 1 (การจัดการการสื่อสารผ่านเว็บ "ตัวควบคุม"): ฉันไม่มีกฎสำหรับอันนี้ …

28 development-process  language-agnostic  security  data  validation