3
ответа
Чувствительные данные в базе данных Firebase [дубликат]
В моем приложении используется FirebaseDatabase. Поскольку у меня есть конфиденциальные данные о клиентах App-Users (например, данные пациента), мне интересно, можно ли хранить эти данные в ...
вопрос задан: 15 February 2016 23:48
3
ответа
Как я создаю песочницу Java?
Я хочу подать свою заявку для выполнения чужого кода, иначе плагины. Однако, что опции, я должен заставить это защитить так, они не пишут вредоносный код. Как делают я управляю тем, что они могут, или не может...
вопрос задан: 31 January 2016 17:17
3
ответа
Сколько времени я должен ожидать для разглашения уязвимости в свободном/с открытым исходным кодом проекте? [закрытый]
В моем обзоре бесплатного пакета, распределенного в соответствии с лицензией Apache, я нашел много ошибок в пределах от неясных проблем кода к дырам в системе безопасности. Я взял следующие шаги: Я уведомил...
вопрос задан: 10 January 2016 16:43
3
ответа
Как сделать страницу с HTTPS iframe, кажутся безопасными
У меня есть страница на веб-сайте, который содержит безопасную форму в iframe. Хотя отправленные данные формы безопасны, страница не кажется безопасной, поскольку URL в браузере является просто HTTP. Есть ли...
вопрос задан: 17 December 2015 15:42
3
ответа
Понимание CSRF
Я не понимаю, как использование 'маркера проблемы' добавило бы любой вид предотвращения: какое значение должно по сравнению с какой? От OWASP: В целом разработчики должны только генерировать этот маркер однажды для...
вопрос задан: 12 May 2015 09:59
3
ответа
MALICIOUS_CODE EI_EXPOSE_REP Средний
Я запускаю findbugs для всего своего кода и берусь только за самые лучшие вещи. Я наконец-то решил главные вещи и теперь смотрю на детали. У меня есть простая сущность, скажем, пользователь: public class User ...
вопрос задан: 15 April 2015 18:41
3
ответа
Переопределение авторизовывает атрибут в ASP.NET MVC
У меня есть базовый класс контроллера MVC, на который я применил Авторизовать атрибут, так как я хочу, чтобы почти все контроллеры (и их действия вперед) были авторизованы. Однако я должен иметь...
вопрос задан: 30 March 2015 19:20
3
ответа
Как я обеспечиваю больше безопасности для проверки источника запроса
Я разрабатываю одно веб-приложение PHP, я хочу предоставить больше безопасности приложению так, чтобы никто не мог легко повредить функциональность. Краткое объяснение о моей проблеме: В одном модуле существует...
вопрос задан: 20 March 2015 07:43
3
ответа
Как делает ACM ICPC судья, Онлайн предотвращает вредоносные атаки? [закрытый]
Я потратил больше, чем несколько часов, унизившись на трудном архиве набора ICPC ACM, и я задался вопросом, как судья онлайн может скомпилировать и выполнить исходный код от любого пользователя и предотвратить...
вопрос задан: 21 January 2015 19:40
3
ответа
Идентификационное вращение Сессии улучшает безопасность?
(Я думаю), я понимаю, почему идентификаторы сессии должны быть повернуты, когда пользователь входит в систему - это - один важный шаг для предотвращения фиксации сессии. Однако есть ли любое преимущество для случайным образом/периодически...
вопрос задан: 20 October 2014 14:37
3
ответа
Действительно ли это - плохая практика для помещения внешних пользователей в Active Directory?
У нас есть существующее веб-приложение, и мы хотим мигрировать от пользовательского решения для аутентификации до Active Directory Federation Services так, чтобы наши партнерские организации могли управлять авторизацией...
вопрос задан: 25 September 2014 23:44
3
ответа
Какое эссе Graham говорит о не знании, если Вы - хороший программист? [закрытый]
Я пытаюсь найти эссе Paul Graham, которое упоминает, что что-то к эффекту "хакеров не может знать, хороши ли они". В нем он говорит, что (с на вид ложным смирением) говорит, что он сам не делает даже...
вопрос задан: 30 August 2014 21:14
3
ответа
Firefox катастрофического отказа с помощью [закрытого] JavaScript
Я - часть команды тестирования и был определен задачу с "поведением плохо" использование JavaScript в браузере Firefox. Я попробовал эти методы для приведения в нерабочее состояние браузера, но ни один из них не делает ничего худшего, чем...
вопрос задан: 30 August 2014 20:47
3
ответа
Блоги и книги по шифрованию и [закрытой] безопасности
Мог какой-либо из Вас опытные программисты / нравственные хакеры там рекомендуют некоторые блоги или книги по безопасности/шифрованию? Единственные блоги, на которые я смотрю теперь, Блог безопасности .NET. Блог безопасности ноутбука...
вопрос задан: 17 August 2014 21:06
3
ответа
Инжекция заголовка SMTP в ASP.NET?
Мой веб-сайт ASP.NET имеет глобальный обработчик ошибок, который посылает электронное письмо мне (и другой разработчик), когда существует любой вид ошибки в веб-приложении. Мы недавно получили ошибку, которая содержала CC к...
вопрос задан: 17 August 2014 21:05
3
ответа
Обнаружение подозрительного поведения в веб-приложении - что искать?
Я хотел бы спросить превентивное (или параноидальный;) среди нас: Что Вы ищете, и как? Я думаю главным образом о вещах, за которыми можно наблюдать программно, а не вручную...
вопрос задан: 17 August 2014 20:51
3
ответа
Насколько безопасны CDN для доставки jQuery?
Мы создаем сайты, которые имеют открытую (незащищенную) область и защищенную (доставленную по HTTPS) область, и мы используем библиотеку jQuery. Недавно я предложил использовать Google CDN для доставки jQuery. Некоторые из моих ...
вопрос задан: 17 August 2014 20:39
3
ответа
Что такое аутентификация на основе токенов?
Я хочу понять, что означает аутентификация на основе токенов. Я искал в интернете, но не мог найти ничего понятного.
вопрос задан: 6 August 2014 02:41
3
ответа
Сайты в качестве примера с поврежденными сертификатами безопасности [закрылись]
Я задаюсь вопросом, знает ли кто-либо о демонстрационном сайте, который показывает различные случаи, где HTTPS неправильно конфигурируется или повреждается. Или делает любой знает о веб-сайте в дикой природе, которая сознательно отображается различный пов
вопрос задан: 10 June 2014 13:36
3
ответа
Лучшие практики Java для предотвращения перекрестных [закрытых] сценариев сайта
Я прошел лучшие десять уязвимостей OWASP и нашел, что Сценарии перекрестного Сайта являются тем, который мы должны сделать заметки. Было небольшое количество пути рекомендуемые решения. Каждый заявил, что не используют "...
вопрос задан: 5 March 2014 07:31
3
ответа
Шифрование с общественностью/закрытым ключом приложения в .NET
- новый - я нашел другое использование. Существуют некоторые данные, отправленные мне через HTTPS данные POST, и я хотел бы сохранить его в своем дб (Таком как родительская девичья фамилия, которую поддержка клиентов, возможно, должна считать позже вместо
вопрос задан: 24 February 2014 19:30
3
ответа
Моделирование системы полномочий
Как Вы смоделировали бы систему, которая обрабатывает полномочия для выполнения определенных действий в приложении?
вопрос задан: 15 February 2014 21:08
3
ответа
Почему для электронной почты нужен конверт, и что означает “конверт”?
Каково точное различие между конвертом и электронной почтой в smtp? Почему для протокола нужен конверт? В обычной почте буква не должна содержать адреса и не видима к...
вопрос задан: 6 February 2014 16:53
3
ответа
Санируйте/Перепишите HTML на Стороне клиента
Я должен отобразить внешние ресурсы, загруженные через перекрестные доменные запросы, и удостовериться, что только отобразил "безопасное" содержание. Мог использовать String#stripScripts Прототипа для удаления блоков сценария. Но обработчики...
вопрос задан: 31 January 2014 13:15
3
ответа
Защита паролем PHP: md5 к sha512
Как я использую функцию sha512 для PHP? Я могу заменить все свои функции md5 функцией sha512? Я должен загрузить что-то раз так что? Кто-либо может обеспечить примеры?
вопрос задан: 4 January 2014 15:54
3
ответа
Использование Единой системы () Вызов для Выполнения Нескольких Команд в C
В лаборатории информационной безопасности я продолжаю работать, для меня определили задачу с выполнением нескольких команд с единственным вызовом к "системе ()" (записанный в C, работая на Fedora). Каков синтаксис, который позволит...
вопрос задан: 6 August 2013 00:21
3
ответа
Безопасно ли показывать токен защиты CSRF сеанса?
Django поставляется с промежуточным программным обеспечением защиты CSRF, которое генерирует уникальный токен для каждого сеанса для использования в формах. Он сканирует все входящие запросы POST на правильный токен и отклоняет запрос, если ...
вопрос задан: 23 July 2013 15:47
3
ответа
Требования к защите для медицинских [закрытых] приложений
Я провожу исследование в области кодирования требований для медицинских приложений, но я ничто не могу найти полезным/структурирующим. В основном я ищу структурированный (если возможный XML-файл) документ со списком...
вопрос задан: 8 June 2013 04:08
3
ответа
Множество итераций хеша: каждый раз добавлять соль?
Я долгое время использовал несоленый md5 / sha1, но так как этот метод не очень безопасен (и его использование становится еще меньше безопасное время идет) я решил переключиться на соленый sha512. Кроме того, я хочу замедлить ...
вопрос задан: 28 May 2013 16:14
3
ответа
Какова лучшая модель для того, чтобы вывести аутентификацию пользователя из эксплуатации?
Я встраиваю аутентификацию в клиент-серверное приложение, и часть обратной связи, которую я получил, - то, что я должен оставить вычисление хеша серверу (это было первоначально реализовано, чтобы иметь...
вопрос задан: 14 March 2013 17:03