Als «security» getaggte Fragen

Themen zur Anwendungssicherheit und zu Angriffen auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn sich Ihre Frage nicht auf ein bestimmtes Programmierproblem bezieht, wenden Sie sich bitte an Information Security SE: https://security.stackexchange.com

Wie kann ich den MySQL-Benutzernamen und das Passwort vor dem Dekompilieren schützen?

Java- .classDateien können ziemlich einfach dekompiliert werden. Wie kann ich meine Datenbank schützen, wenn ich die Anmeldedaten im Code verwenden muss?

87 java mysql security reverse-engineering decompiling

Ist es sicher, $ _SERVER ['REMOTE_ADDR'] zu vertrauen?

Ist es sicher zu vertrauen $_SERVER['REMOTE_ADDR']? Kann es ersetzt werden, indem der Header der Anfrage oder ähnliches geändert wird? Ist es sicher so etwas zu schreiben? if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address $grant_all_admin_rights = true; }

87 php security ip-address

https URL mit Token Parameter: Wie sicher ist es?

Auf unserer Website bieten wir Benutzern eine Simulation basierend auf ihren privaten Informationen (über ein Formular angegeben). Wir möchten ihnen erlauben, später wieder auf ihre Simulationsergebnisse zurückzugreifen, ohne sie jedoch zu zwingen, ein Login / Passwort-Konto zu erstellen. Wir haben darüber nachgedacht, ihnen eine E-Mail mit einem Link zu senden, …

86 security url https token

Was ist der richtige OAuth 2.0-Flow für eine mobile App?

Ich versuche, die delegierte Autorisierung in einer Web-API für mobile Apps mithilfe von OAuth 2.0 zu implementieren. Gemäß der Spezifikation unterstützt der implizite Grant-Flow keine Aktualisierungstoken. Sobald ein Zugriffstoken für einen bestimmten Zeitraum gewährt wurde, muss der Benutzer der App erneut Berechtigungen erteilen, sobald das Token abläuft oder widerrufen wird. …

86 security mobile oauth-2.0

Warum machen Salze Wörterbuchangriffe "unmöglich"?

Update: Bitte beachten Sie, dass ich nicht frage, was ein Salz ist, was ein Regenbogentisch ist, was ein Wörterbuchangriff ist oder was der Zweck eines Salzes ist. Ich frage: Wenn Sie wissen, dass die Benutzer Salt und Hash sind, ist es nicht ganz einfach, ihr Passwort zu berechnen? Ich verstehe …

85 security hash salt dictionary-attack

Lesen eines HttpOnly-Cookies mit JavaScript

Gibt es eine Möglichkeit, ein sicheres Cookie mit JavaScript zu lesen? Ich habe versucht, dies mit zu tun, document.cookieund soweit ich in diesem Artikel über sichere Cookies und das HttpOnly-Flag sehen kann , kann ich auf diese Weise nicht auf ein sicheres Cookie zugreifen. Kann jemand eine Problemumgehung vorschlagen?

85 javascript security cookies

Wie überprüfe ich Domain-Anmeldeinformationen?

Ich möchte eine Reihe von Anmeldeinformationen für den Domänencontroller überprüfen. z.B: Username: STACKOVERFLOW\joel Password: splotchy Methode 1. Active Directory mit Identitätswechsel abfragen Viele Leute schlagen vor, das Active Directory nach etwas abzufragen. Wenn eine Ausnahme ausgelöst wird, wissen Sie, dass die Anmeldeinformationen ungültig sind - wie in dieser Frage zum …

85 c# windows security authentication

Zufallszahl im Bereich [min - max] mit PHP

Gibt es eine Möglichkeit, eine Zufallszahl basierend auf Min und Max zu generieren? Wenn beispielsweise min 1 und max 20 war, sollte eine beliebige Zahl zwischen 1 und 20 generiert werden, einschließlich 1 und 20?

84 php security random

Was bedeutet es, einer Schnur zu entkommen?

Ich habe gelesen Muss Muss $ _SESSION ['Benutzername'] maskiert werden, bevor eine SQL-Abfrage ausgeführt wird? und es hieß "Sie müssen jede Zeichenfolge, die Sie an die SQL-Abfrage übergeben, ungeachtet ihres Ursprungs maskieren". Jetzt weiß ich, dass so etwas wirklich grundlegend ist. Eine Google-Suche ergab über 20.000 Ergebnisse. Allein Stackoverflow hatte …

84 php mysql security escaping

JAAS für Menschen

Es fällt mir schwer, JAAS zu verstehen. Es scheint alles komplizierter zu sein, als es sein sollte (insbesondere die Sun-Tutorials). Ich benötige ein einfaches Tutorial oder Beispiel zum Implementieren der Sicherheit (Authentifizierung + Autorisierung) in einer Java-Anwendung basierend auf Struts + Spring + Hibernate mit benutzerdefiniertem Benutzer-Repository. Kann mit ACEGI …

83 java security spring spring-security jaas

Autorisierungsattribut in ASP.NET MVC überschreiben

Ich habe eine MVC-Controller-Basisklasse, auf die ich das Authorize-Attribut angewendet habe, da fast alle Controller (und ihre Aktionen) autorisiert werden sollen. Ich muss jedoch einen Controller und eine Aktion eines anderen Controllers nicht autorisiert haben. Ich wollte sie mit dem dekorieren können[Authorize(false)] oder so , aber das ist nicht verfügbar. …

83 .net asp.net-mvc security authentication authorize

Warum sollte das Überprüfen eines falschen Passworts länger dauern als das Überprüfen des richtigen?

Diese Frage hat mich immer beunruhigt. Wenn Sie unter Linux nach einem Kennwort gefragt werden und Ihre Eingabe korrekt ist, wird sie sofort und ohne Verzögerung überprüft. Wenn Sie jedoch das falsche Passwort eingeben, dauert die Überprüfung länger. Warum ist das so? Ich habe dies bei allen Linux-Distributionen beobachtet, die …

83 security authentication passwords

Generieren kryptografisch sicherer Token

Um ein 32-stelliges Token für den Zugriff auf unsere API zu generieren, verwenden wir derzeit: $token = md5(uniqid(mt_rand(), true)); Ich habe gelesen, dass diese Methode nicht kryptografisch sicher ist, da sie auf der Systemuhr basiert, und das openssl_random_pseudo_byteswäre eine bessere Lösung, da es schwieriger vorherzusagen wäre. Wenn dies der Fall …

83 php security openssl token

Deaktivieren Sie die Web-Sicherheit in Chrome 48+

Ich habe ein Problem mit dem --disable-web-security Flagge. Es funktioniert nicht in Chrome 48 und Chrome 49 Beta unter Windows. Ich habe versucht, alle Instanzen zu beenden, Chrome neu zu starten und zuerst mit dem Flag auszuführen. Außerdem habe ich verschiedene Computer ausprobiert. In der Beta wird das Warn-Popup angezeigt …

82 google-chrome security same-origin-policy

Modellieren eines Berechtigungssystems

Wie würden Sie ein System modellieren, das Berechtigungen zum Ausführen bestimmter Aktionen in einer Anwendung verarbeitet?

82 security permissions action modeling

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.

Licensed under cc by-sa 3.0 with attribution required.