0
ответов
Как перенести пароли на другой метод хеширования
При изменении алгоритма хеширования паролей для приложения, как система должна перенести значения, уже сохраненные в базе данных? Мне хорошо известно, что я не могу перенести их в их ...
вопрос задан: 14 January 2012 18:09
0
ответов
Защищены ли URL-адрес и заголовки запроса при использовании HTTPS, как и тело запроса?
Просто хотите проверить , при создании SSL-соединения (сообщение http), чтобы сказать: https://www.example.com/some/path?customer_key=123123123 Если вы не хотите, чтобы кто-либо знал о customer_key, этот подход будет ...
вопрос задан: 13 January 2012 22:44
0
ответов
Почему возникает ошибка 404, когда я обращаюсь к файлу * .mp4 по HTTP?
У меня есть общая папка по HTTP. Допустим: http: // myserver / files И есть некоторые файлы, такие как png, avi, jpg, mp4 и т. Д. Я могу легко получить доступ к * .png или * .avi через браузер (http: // myserver / files / .. .
вопрос задан: 13 January 2012 15:30
0
ответов
Хеши (MD5, SHA1, SHA256, SHA384, SHA512) - почему невозможно получить значение обратно из хеша?
В этом сообщении блога есть предложение, как показано ниже: Этот хеш уникален для данного текста. Если вы снова используете хеш-функцию для того же текста, вы получите тот же хеш. Но нет возможности ...
вопрос задан: 13 January 2012 12:41
0
ответов
Безопасное выполнение HTML5 / Javascript в iFrame
Я ищу разработку веб-сайта для размещения игр HTML5. Поскольку эти игры могут содержать вредоносный javascript, я хотел бы знать, как настроить безопасную среду для их размещения. Это ...
вопрос задан: 12 January 2012 11:46
0
ответов
Java Security vs. ESAPI
Я Java-разработчик, идущий по дороге, ведущей к App Security, и наткнулся на организацию OWASP и ее сопутствующий Java API, ESAPI. В другом вопросе, который я задал на этом сайте ...
вопрос задан: 11 January 2012 18:34
0
ответов
Насколько небезопасно использовать rsync в режиме демона без ssh
Как мы знаем, мы можем использовать rsync через ssh для передачи файлов между компьютерами, особенно в разных сетях (например, в Интернете), чтобы иметь некоторые безопасные передачи. (это верно, и мы все с этим согласны) и, как мы знаем, ...
вопрос задан: 11 January 2012 06:23
0
ответов
Почему fireshepard убивает firesheep ?
Я полагаю, что в firesheep есть ошибка, которую использует fireshepard.
Ответственная строка может быть в этой странной строке значения cookie для facebook. источник пожара
Источник firesheep
вопрос задан: 10 January 2012 21:08
0
ответов
Как браузеры узнают, какие cookies отправлять серверу при запросе?
Я знаю, как работают cookies, просто начал копать, почему Codeigniter не хранит сгенерированный токен csrf в SESSION, а только в cookie. Беспокоясь о безопасности, я начал думать о php ...
вопрос задан: 10 January 2012 15:40
0
ответов
Работа с сеансами в приложении GWT
У меня есть приложение GWT, которое имеет службу RPC на своей внутренней стороне. В настоящее время я пытаюсь реализовать поддержку пользователей, и единственный вопрос, который все еще остается, - это способ хранения данных сеанса. Я ...
вопрос задан: 8 January 2012 20:22
0
ответов
Должна ли форма регистрации пользователя указывать, если адрес электронной почты уже используется?
Похоже, довольно типично ограничивать учетные записи пользователей уникальными адресами электронной почты. Поэтому в форме регистрации пользователя я делаю проверку электронной почты и возвращаю сообщение типа An account has been already ...
вопрос задан: 7 January 2012 20:05
0
ответов
Spring Security: метод не защищен аннотацией @PreAuthorize
Я хотел бы защитить метод в моем управляемом сессионном компоненте для конкретной роли "ROLE_ADMIN" config (applicationContext-security.xml):
вопрос задан: 6 January 2012 15:33
0
ответов
Очевидная xss-уязвимость jsonp
Некоторые из наших клиентов сообщили о предполагаемой XSS-уязвимости во всех наших конечных точках JSONP, но я не согласен с тем, является ли она на самом деле уязвимостью. Хотелось бы получить ...
вопрос задан: 5 January 2012 22:01
0
ответов
NetSqlAzMan vs AzMan vs (?????)
Я пытался «прочитать между строк» об исходной (и / или текущей) мотивации проекта NetSqlAzMan. Это было написано для? Адаптер для диспетчера авторизации Windows (AzMan). ...
вопрос задан: 5 January 2012 21:52
0
ответов
Можно ли прочитать файл PHP извне? [закрыто]
Может ли кто-нибудь «взломать» сервер Apache и прочитать файлы PHP. Я понимаю, что PHP является серверным языком и не может быть прочитан нигде, кроме сервера, но может кто-нибудь взломать ...
вопрос задан: 4 January 2012 22:44
0
ответов
Есть ли вред в размещении изображений за пределами сайта? [закрыто]
Есть ли какой-нибудь вред для размещения изображений через такой веб-сайт, как Imgur, с последующим использованием предоставленного кода для их вставки на мой веб-сайт? По сравнению с традиционным способом размещения изображений на моем сервере и связыва
вопрос задан: 4 January 2012 19:47
0
ответов
Как установить сертификат как доверенный для Spring RestTemplate
Я использую Spring RestTemplate в своем приложении для доступа к внешним веб-сервисам. В этом веб-сервисе включен SSL, однако, с самоподписанным сертификатом (домен и т.д... также не действительны). Это ...
вопрос задан: 4 January 2012 17:07
0
ответов
Что мне делать с точки зрения безопасности, разрешая пользователям загружать файлы?
Я разрешаю пользователю загружать XML-файл. Что мне делать с точки зрения безопасности? Я хочу запретить пользователю загружать файлы чаще трех раз в день. Я ищу любые предложения по поводу ...
вопрос задан: 4 January 2012 14:56
0
ответов
Запретить пользователю делать ограниченное количество запросов в секунду
Среда:
Веб-приложение на основе Java-EE Проблема:
Необходимо ограничить пользователя выполнением более 5 (например) запросов в течение одной секунды (в основном BOT) Решение:
В качестве базовой конструкции я планирую использовать ...
вопрос задан: 4 January 2012 12:54
0
ответов
Безопасное хранение данных
Я понимаю концепции безопасного хранения данных по большей части, включая хранение данных на отдельном сервере, который разрешает только соединения из приложения, пары ключей для шифрования и т. Д. ...
вопрос задан: 3 January 2012 17:00
0
ответов
Чем уязвим этот код C?
#include
# include
# include
# include
# include int main (int argc, char ** argv, char ** envp) {{1 }} {gid_t gid; ...
вопрос задан: 3 January 2012 00:10
0
ответов
Насколько безопасна моя система входа в PHP?
Я новичок в PHP, и это также мой первый войдите в систему, так что было бы здорово, если бы вы, ребята, могли просмотреть мой код и посмотреть, заметите ли вы какие-нибудь дыры в безопасности: примечание: я дезинфицирую весь пользовательский ввод ...
вопрос задан: 31 December 2011 23:33
0
ответов
HttpServletRequest.getRemoteUser () против HttpServletRequest.getUserPrincipal (). GetName ()
Похоже, эти двое делают одно и то же. Может ли кто-нибудь объяснить основное различие между ними? Когда бы вы использовали одно против другого? HttpServletRequest.getRemoteUser () HttpServletRequest ....
вопрос задан: 30 December 2011 15:43
0
ответов
Защита от CSRF: нужно ли генерировать токен для каждой формы?
Должны ли мы генерировать токен для каждой формы на веб-сайте? Я имею в виду, каждый раз генерировать разные токены для каждой запрошенной формы? Если нет, то почему?
вопрос задан: 28 December 2011 13:20
0
ответов
Существуют ли другие последовательности, которые браузеры интерпретируют как специальные символы HTML?
В HTML есть несколько специальных символов <> & '", которые имеют значение для парсера DOM. Это символы, которые преобразуют популярные функции, такие как htmlspecialchars PHP. to ...
вопрос задан: 24 December 2011 19:12
0
ответов
Требуется ли HttpOnly, когда SSL уже установлен?
Если я уже установил SSL для своего сервера приложений, мне все равно нужно установить HttpOnly для файлов cookie?
вопрос задан: 23 December 2011 03:05
0
ответов
Как представить контроль доступа на уровне атрибутов RESTful?
Я долго ломал себе голову и гуглил, так и не придумав удовлетворительного способа справиться с этим. Я хочу написать хороший полностью RESTful-сервис для возврата ресурсов, но данные, которые вы ...
вопрос задан: 22 December 2011 17:50
0
ответов
Какой шифр использовать для кросс-платформы
У меня есть несколько приложений, которые работают с одной централизованной базой данных Oracle. Приложения предназначены для следующих платформ: iPhone
Android
Windows (XP, Vista и 7)
Linux
Mac Os
Web ...
вопрос задан: 21 December 2011 14:21
0
ответов
Защита ключей API веб-сайта в расширениях Chrome
Я создаю расширение Chrome с использованием веб-интерфейса API Remember the Milk. Чтобы вызывать методы этого API, мне нужно подписывать свои запросы с помощью ключа API и ключа "общего секрета". Меня беспокоит то, что ...
вопрос задан: 20 December 2011 14:45
0
ответов
Безопасны ли идентификаторы (ObjectIds от mongo) для использования в URL-адресе?
Недавно мне сказали, что использование полей mongodb _id в URL-адресе небезопасно. Мне было интересно, правда ли это. Мой сайт ограничен для зарегистрированных пользователей, и у каждого пользователя есть свои конечные точки URL, которые содержат ...
вопрос задан: 20 December 2011 10:08