Als «security» getaggte Fragen

Themen zur Anwendungssicherheit und zu Angriffen auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn sich Ihre Frage nicht auf ein bestimmtes Programmierproblem bezieht, wenden Sie sich bitte an Information Security SE: https://security.stackexchange.com

12
Der endgültige Leitfaden zur formularbasierten Website-Authentifizierung [geschlossen]
Geschlossen . Diese Frage muss fokussierter sein . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so, dass sie sich nur auf ein Problem konzentriert, indem Sie diesen Beitrag bearbeiten . Geschlossen vor 3 Jahren . Formularbasierte Authentifizierung für Websites Wir glauben, dass der …
7
Warum stellt Google während (1) voran? auf ihre JSON-Antworten?
Warum stellt Google while(1);seinen (privaten) JSON-Antworten voran? Hier ist beispielsweise eine Antwort beim Ein- und Ausschalten eines Kalenders in Google Kalender : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Ich würde annehmen, dass dies …
4076 javascript  json  ajax  security 
17
Warum wird char [] für Passwörter String vorgezogen?
In Swing verfügt das Kennwortfeld über eine getPassword()(Rückgabe- char[]) Methode anstelle der üblichen getText()(Rückgabe- String) Methode. Ebenso bin ich auf einen Vorschlag gestoßen, nicht Stringmit Passwörtern umzugehen. Warum ist die StringSicherheit bei Passwörtern eine Bedrohung? Es fühlt sich unpraktisch an, es zu benutzen char[].
3422 java  string  security  passwords  char 
28
Wie kann ich die SQL-Injection in PHP verhindern?
Die Antworten dieser Frage sind eine Gemeinschaftsanstrengung . Bearbeiten Sie vorhandene Antworten, um diesen Beitrag zu verbessern. Derzeit werden keine neuen Antworten oder Interaktionen akzeptiert. Эа этот вопрос есть ответы на Stapelüberlauf на русском : Каким образом избежать SQL-инъекций в PHP? Wenn Benutzereingaben ohne Änderung in eine SQL-Abfrage eingefügt werden, …
26
Wie sollte ich ethisch mit dem Speichern von Benutzerkennwörtern umgehen, um später Klartext abzurufen?
Gesperrt . Diese Frage und ihre Antworten sind gesperrt, da die Frage nicht zum Thema gehört, aber historische Bedeutung hat. Derzeit werden keine neuen Antworten oder Interaktionen akzeptiert. Da ich immer mehr Websites und Webanwendungen erstelle, werde ich häufig gebeten, die Kennwörter des Benutzers so zu speichern, dass sie abgerufen …
14
Sicherer Hash und Salt für PHP-Passwörter
Derzeit wird gesagt, dass MD5 teilweise unsicher ist. In Anbetracht dessen möchte ich wissen, welcher Mechanismus für den Passwortschutz verwendet werden soll. Diese Frage: Ist "doppeltes Hashing" ein Passwort weniger sicher als nur einmaliges Hashing? schlägt vor, dass das mehrfache Hashing eine gute Idee sein kann, während Wie man den …
7
Reichen PDO-vorbereitete Anweisungen aus, um eine SQL-Injection zu verhindern?
Angenommen, ich habe folgenden Code: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); In der PDO-Dokumentation heißt es: Die Parameter für vorbereitete Anweisungen müssen nicht in Anführungszeichen gesetzt werden. Der Fahrer erledigt das für Sie. Ist das wirklich alles, …
14
Warum verfügt OAuth v2 über Zugriffs- und Aktualisierungstoken?
In Abschnitt 4.2 des Entwurfs des OAuth 2.0-Protokolls wird angegeben, dass ein Autorisierungsserver sowohl einen access_token(der zur Authentifizierung bei einer Ressource verwendet wird) als auch einen refresh_token(der lediglich zum Erstellen einer neuen Ressource verwendet wird) zurückgeben kann access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Warum beides? Warum nicht einfach das access_tokenletzte so lange machen wie …
4
SQL-Injection, die mysql_real_escape_string () umgeht
Gibt es eine SQL-Injection-Möglichkeit, auch wenn die mysql_real_escape_string()Funktion verwendet wird? Betrachten Sie diese Beispielsituation. SQL ist in PHP wie folgt aufgebaut: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Ich habe zahlreiche Leute zu mir sagen hören, dass solcher Code immer noch …
4
Wie kann bcrypt eingebaute Salze haben?
In Coda Hales Artikel "So speichern Sie ein Passwort sicher" heißt es: In bcrypt sind Salze eingebaut, um Regenbogentischangriffe zu verhindern. Er zitiert dieses Papier , das besagt, dass in der OpenBSD-Implementierung von bcrypt: OpenBSD generiert das 128-Bit-bcrypt-Salt aus einem arcfour-Schlüsselstrom (arc4random (3)), der mit zufälligen Daten versehen ist, die …
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.