В моем приложении используется FirebaseDatabase. Поскольку у меня есть конфиденциальные данные о клиентах App-Users (например, данные пациента), мне интересно, можно ли хранить эти данные в ...
Я хочу подать свою заявку для выполнения чужого кода, иначе плагины. Однако, что опции, я должен заставить это защитить так, они не пишут вредоносный код. Как делают я управляю тем, что они могут, или не может...
В моем обзоре бесплатного пакета, распределенного в соответствии с лицензией Apache, я нашел много ошибок в пределах от неясных проблем кода к дырам в системе безопасности. Я взял следующие шаги: Я уведомил...
У меня есть страница на веб-сайте, который содержит безопасную форму в iframe. Хотя отправленные данные формы безопасны, страница не кажется безопасной, поскольку URL в браузере является просто HTTP. Есть ли...
Я не понимаю, как использование 'маркера проблемы' добавило бы любой вид предотвращения: какое значение должно по сравнению с какой? От OWASP: В целом разработчики должны только генерировать этот маркер однажды для...
Я запускаю findbugs для всего своего кода и берусь только за самые лучшие вещи. Я наконец-то решил главные вещи и теперь смотрю на детали. У меня есть простая сущность, скажем, пользователь: public class User ...
У меня есть базовый класс контроллера MVC, на который я применил Авторизовать атрибут, так как я хочу, чтобы почти все контроллеры (и их действия вперед) были авторизованы. Однако я должен иметь...
Я разрабатываю одно веб-приложение PHP, я хочу предоставить больше безопасности приложению так, чтобы никто не мог легко повредить функциональность. Краткое объяснение о моей проблеме: В одном модуле существует...
Я потратил больше, чем несколько часов, унизившись на трудном архиве набора ICPC ACM, и я задался вопросом, как судья онлайн может скомпилировать и выполнить исходный код от любого пользователя и предотвратить...
(Я думаю), я понимаю, почему идентификаторы сессии должны быть повернуты, когда пользователь входит в систему - это - один важный шаг для предотвращения фиксации сессии. Однако есть ли любое преимущество для случайным образом/периодически...
У нас есть существующее веб-приложение, и мы хотим мигрировать от пользовательского решения для аутентификации до Active Directory Federation Services так, чтобы наши партнерские организации могли управлять авторизацией...
Я пытаюсь найти эссе Paul Graham, которое упоминает, что что-то к эффекту "хакеров не может знать, хороши ли они". В нем он говорит, что (с на вид ложным смирением) говорит, что он сам не делает даже...
Я - часть команды тестирования и был определен задачу с "поведением плохо" использование JavaScript в браузере Firefox. Я попробовал эти методы для приведения в нерабочее состояние браузера, но ни один из них не делает ничего худшего, чем...
Мог какой-либо из Вас опытные программисты / нравственные хакеры там рекомендуют некоторые блоги или книги по безопасности/шифрованию? Единственные блоги, на которые я смотрю теперь, Блог безопасности .NET. Блог безопасности ноутбука...
Мой веб-сайт ASP.NET имеет глобальный обработчик ошибок, который посылает электронное письмо мне (и другой разработчик), когда существует любой вид ошибки в веб-приложении. Мы недавно получили ошибку, которая содержала CC к...
Я хотел бы спросить превентивное (или параноидальный;) среди нас: Что Вы ищете, и как? Я думаю главным образом о вещах, за которыми можно наблюдать программно, а не вручную...
Мы создаем сайты, которые имеют открытую (незащищенную) область и защищенную (доставленную по HTTPS) область, и мы используем библиотеку jQuery. Недавно я предложил использовать Google CDN для доставки jQuery. Некоторые из моих ...
Я задаюсь вопросом, знает ли кто-либо о демонстрационном сайте, который показывает различные случаи, где HTTPS неправильно конфигурируется или повреждается. Или делает любой знает о веб-сайте в дикой природе, которая сознательно отображается различный пов
Я прошел лучшие десять уязвимостей OWASP и нашел, что Сценарии перекрестного Сайта являются тем, который мы должны сделать заметки. Было небольшое количество пути рекомендуемые решения. Каждый заявил, что не используют "...
- новый - я нашел другое использование. Существуют некоторые данные, отправленные мне через HTTPS данные POST, и я хотел бы сохранить его в своем дб (Таком как родительская девичья фамилия, которую поддержка клиентов, возможно, должна считать позже вместо
Каково точное различие между конвертом и электронной почтой в smtp? Почему для протокола нужен конверт? В обычной почте буква не должна содержать адреса и не видима к...
Я должен отобразить внешние ресурсы, загруженные через перекрестные доменные запросы, и удостовериться, что только отобразил "безопасное" содержание. Мог использовать String#stripScripts Прототипа для удаления блоков сценария. Но обработчики...
Как я использую функцию sha512 для PHP? Я могу заменить все свои функции md5 функцией sha512? Я должен загрузить что-то раз так что? Кто-либо может обеспечить примеры?
В лаборатории информационной безопасности я продолжаю работать, для меня определили задачу с выполнением нескольких команд с единственным вызовом к "системе ()" (записанный в C, работая на Fedora). Каков синтаксис, который позволит...
Django поставляется с промежуточным программным обеспечением защиты CSRF, которое генерирует уникальный токен для каждого сеанса для использования в формах. Он сканирует все входящие запросы POST на правильный токен и отклоняет запрос, если ...
Я провожу исследование в области кодирования требований для медицинских приложений, но я ничто не могу найти полезным/структурирующим. В основном я ищу структурированный (если возможный XML-файл) документ со списком...
Я долгое время использовал несоленый md5 / sha1, но так как этот метод не очень безопасен (и его использование становится еще меньше безопасное время идет) я решил переключиться на соленый sha512. Кроме того, я хочу замедлить ...
Я встраиваю аутентификацию в клиент-серверное приложение, и часть обратной связи, которую я получил, - то, что я должен оставить вычисление хеша серверу (это было первоначально реализовано, чтобы иметь...