คำถามติดแท็ก security

นี่เป็นนโยบายรหัสผ่านที่ฉันได้รับจาก UPS (สำหรับการตรวจสอบสถานะแพ็คเกจ): รหัสผ่านของคุณจะต้องมีความยาวระหว่าง 8 และ 26 อักขระ ต้องมีประเภทอักขระอย่างน้อยสามชนิดต่อไปนี้: ตัวอักษรตัวพิมพ์เล็กตัวพิมพ์ใหญ่ตัวเลขตัวอักษรพิเศษหรือช่องว่าง รหัสผ่านต้องไม่มี ID ผู้ใช้ชื่อหรือที่อยู่อีเมลของคุณ (SSO_1007) ที่จริงฉันต้องพินาศสมองของฉันบ้างเพื่อสร้างรหัสผ่านนี้ แต่ไม่เพียงเท่านั้นที่สำคัญที่สุดคือฉันแน่ใจว่าหลังจาก 3 วันฉันจะลืมรหัสผ่านนี้ ผู้ใช้จะไม่มีความสุขมาก การรีเซ็ตรหัสผ่านสามารถทำได้บ่อยครั้ง ฉันคิดว่าผู้ใช้จะพยายามหลีกเลี่ยงการใช้เว็บไซต์เว้นแต่พวกเขาจะต้อง นโยบายรหัสผ่านที่สมเหตุสมผลและปลอดภัยเมื่อตั้งค่าเว็บไซต์เป็นอย่างไร ฉันคิดว่าบาง บริษัท อาจกลัวแฮกเกอร์ที่พยายามใช้รหัสผ่านเป็นล้านครั้งหรือมากกว่าดังนั้นพวกเขาจึงเพิ่มข้อกำหนดทั้งหมดสำหรับ "อักขระพิเศษตัวพิมพ์เล็กตัวพิมพ์ใหญ่" แต่จะไม่เหมาะสมที่จะปิดบัญชีหรือปิดการใช้งาน รหัสผ่านและต้องการรีเซ็ตรหัสผ่านหากผู้ใช้ลอง 30 ครั้งหรือ 100 ครั้ง? หรือเพิ่มการหน่วงเวลา 5 วินาทีในแต่ละครั้งหลังจากผู้ใช้ลอง 30 ครั้งหรือไม่ ถ้าเป็นเช่นนั้นแล้วตัวละครพิเศษเหล่านั้นก็ไม่จำเป็นเท่าไหร่

10 security  passwords 

ข้อมูลเกี่ยวกับสิทธิ์และบทบาทของลูกค้าควรรวมอยู่ใน JWT หรือไม่? การมีข้อมูลดังกล่าวในโทเค็น JWT จะมีประโยชน์มากเพราะทุกครั้งที่โทเค็นที่ถูกต้องมาถึงมันจะง่ายกว่าในการดึงข้อมูลเกี่ยวกับการอนุญาตเกี่ยวกับผู้ใช้และจะไม่จำเป็นต้องเรียกฐานข้อมูลเหมือนกัน แต่การรวมข้อมูลดังกล่าวและไม่ตรวจสอบซ้ำสองครั้งในฐานข้อมูลจะเป็นปัญหาด้านความปลอดภัยหรือไม่ หรือ, ข้อมูลอย่างที่กล่าวถึงข้างต้นไม่ควรเป็นส่วนหนึ่งของ JWT และควรใช้เฉพาะฐานข้อมูลเพื่อตรวจสอบบทบาทการเข้าถึงและการอนุญาตของผู้ใช้หรือไม่

9 security  authentication  jwt 

ฉันอยู่ในขั้นตอนการออกแบบสำหรับเว็บแอปพลิเคชัน Java ที่อาจจะนำไปใช้กับ Google App Engine (GAE) สิ่งที่ดีเกี่ยวกับ GAE คือฉันไม่ต้องกังวลเกี่ยวกับการเสริมแอปของฉันจากการโจมตี DDoS ที่น่ากลัวฉันเพียงแค่ระบุ "เพดานการเรียกเก็บเงิน" และถ้าปริมาณการใช้ของฉันสูงถึงเพดานนี้ (DDoS หรืออย่างอื่น) GAE จะเพิ่งปิดแอปของฉัน กล่าวอีกนัยหนึ่ง GAE จะปรับขนาดเป็นจำนวนเท่าใดก็ได้จนกว่าคุณจะไม่สามารถทำให้แอปทำงานต่อไปได้อีกต่อไป ดังนั้นฉันจึงพยายามวางแผนฉุกเฉินหากฉันกดเพดานการเรียกเก็บเงินนี้และ GAE ปิดแอปของฉันการตั้งค่า DNS โดเมนเว็บแอปของฉัน "ล้มเหลว" เป็นที่อยู่ IP อื่นที่ไม่ใช่ GAE งานวิจัยเริ่มต้นบางงานแสดงให้เห็นว่า CDN บางตัวเช่น CloudFlare ให้บริการสำหรับสถานการณ์ที่แน่นอนนี้ โดยพื้นฐานแล้วฉันเพิ่งเก็บการตั้งค่า DNS ไว้กับพวกเขาและพวกเขายังมี API ที่ฉันสามารถใช้เพื่อทำให้กระบวนการล้มเหลวอัตโนมัติ ดังนั้นหากฉันตรวจพบว่าฉันอยู่ที่ 99% เพดานการเรียกเก็บเงินสำหรับแอป GAE ของฉันฉันสามารถกด CloudFlare API นี้ได้และ CloudFlare …

9 java  web-applications  security  google-app-engine 

ฉันต้องการออกแบบฐานข้อมูลที่จะมีข้อมูลเกี่ยวกับโรคส่วนตัวของผู้ใช้ สิ่งที่สามารถเป็นวิธีการที่จะใช้คอลัมน์ของตารางฐานข้อมูล: เข้ารหัสข้อมูลแยกข้อมูลภายในสองฐานข้อมูล differents หนึ่งสำหรับข้อมูลที่สำคัญและอื่น ๆ สำหรับข้อมูลที่ไม่สำคัญหรือทั้งสองหรือวิธีอื่น?

9 security  database-design  mysql 

Exchange 2010 มีรูปแบบการมอบหมายที่กลุ่มwinrm cmdlets ถูกจัดกลุ่มอย่างเป็นสาระสำคัญในบทบาทและบทบาทที่กำหนดให้กับผู้ใช้ ( แหล่งรูปภาพ ) นี่เป็นโมเดลที่ยอดเยี่ยมและมีความยืดหยุ่นโดยพิจารณาว่าฉันจะใช้ประโยชน์จาก PowerShell ได้อย่างไรในขณะที่ใช้เทคโนโลยีระดับต่ำ (WCF, SOAP และอื่น ๆ ) และไม่ต้องใช้ซอฟต์แวร์เพิ่มเติมในฝั่งไคลเอ็นต์ ( แหล่งรูปภาพ ) คำถาม (s) มีวิธีใดบ้างที่ฉันจะใช้ประโยชน์จากรูปแบบการมอบหมายของ Exchange ในแอปพลิเคชัน. NET ของฉัน มีใครพยายามเลียนแบบรุ่นนี้หรือไม่? ถ้าฉันต้องเริ่มจากศูนย์ฉันจะเลียนแบบวิธีการนี้อย่างไร

9 c#  security  wcf  authorization  iis7 

ฉันจำเป็นต้องใช้ความยืดหยุ่นและเรียบง่าย (ถ้ามีอยู่) และในเวลาเดียวกันก็ใช้วิธีการที่เป็นไปได้ จนถึงตอนนี้ฉันได้นำ MembershipProvider และ RoleProviders มาใช้ นี่เจ๋ง แต่ฉันจะไปไหนต่อ ฉันรู้สึกว่าฉันต้องการเพิ่มคำว่า "Priviledge" และมากกว่า hardcode ที่อยู่ในแอปพลิเคชัน ผู้ใช้จะกำหนดค่าบทบาทเพื่อเพิ่มสิทธิ์ให้กับบทบาทและกำหนดบทบาทให้กับผู้ใช้ เสียงนั้นเป็นแบบอย่างที่ดีหรือไม่? ฉันควรคิดถึงการเพิ่มสิทธิพิเศษระดับผู้ใช้ด้านบนของการเพิ่มพวกเขาลงในบทบาทหรือไม่ ฉันอาจ แต่ฉันนึกภาพปัญหาเกี่ยวกับการตั้งค่า (ทำให้สับสน) และการติดตามต่อไป หากฉันไม่ทำเช่นนั้นและผู้ใช้บางรายจะต้องมีสิทธิ์น้อยกว่า - ผู้ดูแลระบบจะต้องสร้างบทบาทอื่นเป็นต้น กระสุนเงินสำหรับระบบเช่นนี้? และทำไม Microsoft ไม่ไปไกลกว่านี้เพียงแค่ผู้ให้บริการสมาชิกและบทบาท? ความคิดอื่น: ปล่อยให้บทบาทเป็นผู้ถือ "priviledge" และ hardcode พวกเขา จากนั้นฉันสามารถโค้ดไปยังบทบาทเหล่านั้นภายในแอปโดยใช้มาร์กอัพ / คุณลักษณะที่มีอยู่ทั้งหมด - Microsoft ทั้งหมด เพิ่มเอนทิตีใหม่ "กลุ่ม" และสร้างความสัมพันธ์เช่นนี้ ผู้ใช้ กลุ่มผู้ใช้ กลุ่ม RoleGroups บทบาท วิธีนี้ฉันสามารถรวบรวมบทบาทเป็นกลุ่มและกำหนดกลุ่มเหล่านั้นให้กับผู้ใช้ …

9 design-patterns  security 

เมื่อคุณเขียนโปรแกรมคุณคิดอย่างจริงจังเกี่ยวกับรหัสของคุณที่อาจถูกนำไปใช้ประโยชน์ในรูปแบบที่ไม่ได้ตั้งใจให้ทำในขั้นต้นและเข้าถึงข้อมูลที่ได้รับการป้องกันเรียกใช้คำสั่งหรืออย่างอื่นที่คุณไม่ต้องการให้ผู้ใช้ทำ

9 security 

ที่ปรึกษาด้านไอทีควรเข้ารหัสฮาร์ดไดรฟ์เพื่อปกป้องรหัส / ข้อมูลของลูกค้าในสถานการณ์ใด ฉันคิดว่าถ้ามันไม่เพิ่มภาระงานของคุณคุณอาจใช้การเข้ารหัสดิสก์เต็มรูปแบบด้วยรหัสผ่านที่ "อ่อนแอ" อย่างน้อยก็ป้องกันไม่ให้ผู้อื่นเข้าถึงไฟล์อีเมลของคุณและเอกสารอื่น ๆ หากแล็ปท็อปของคุณถูกขโมย จะไม่สามารถเข้าถึงไฟล์ฐานข้อมูลใด ๆ หรือข้อมูลที่ละเอียดอ่อนอื่น ๆ ได้

9 security