Softwareentwicklung security

4

Bei fehlgeschlagenen Anmeldeversuchen werden Kennwörter angezeigt

Ich habe damit begonnen, fehlgeschlagene Anmeldeversuche auf meiner Website mit einer Nachricht wie der folgenden zu protokollieren Failed login attempt by qntmfred Ich habe bemerkt, dass einige dieser Protokolle aussehen Failed login attempt by qntmfredmypassword Ich vermute, einige Leute hatten eine fehlgeschlagene Anmeldung, weil sie ihren Benutzernamen und ihr Passwort …

38 web-development security

5

Wie einfach ist es, JavaScript (in einem Browser) zu hacken?

Meine Frage hat mit JavaScript-Sicherheit zu tun. Stellen Sie sich ein Authentifizierungssystem vor, bei dem Sie ein JavaScript-Framework wie Backbone oder AngularJS verwenden und sichere Endpunkte benötigen. Das ist kein Problem, da der Server immer das letzte Wort hat und überprüft, ob Sie berechtigt sind, das zu tun, was Sie …

37 javascript security browser hacking

14

Was tun, wenn Sie eine Sicherheitslücke auf der Website eines Mitbewerbers finden?

Während ich an einem Projekt für mein Unternehmen arbeitete, musste ich Funktionen entwickeln, mit denen Benutzer Daten von / zu der Site unseres Konkurrenten importieren / exportieren können. Dabei habe ich einen sehr schwerwiegenden Sicherheits-Exploit entdeckt, der, kurz gesagt, jedes Skript auf der Website des Konkurrenten ausführen kann. Mein natürliches …

37 business security ethics vulnerabilities

19

Wie verhindern Sie die Piraterie Ihrer Software? [geschlossen]

Lohnt es sich immer noch, unsere Software vor Piraterie zu schützen? Gibt es einigermaßen wirksame Möglichkeiten, um Piraterie zu verhindern oder zumindest zu erschweren?

37 security

14

Was ist, wenn der Client Kennwörter abrufen muss?

Ich habe gerade eine Anwendung bei der Arbeit geerbt und zu meinem Entsetzen festgestellt, dass die in der Datenbank gespeicherten Benutzerkennwörter mit einer internen Verschlüsselungsfunktion verschlüsselt werden, die auch die Entschlüsselungsfunktion umfasst. Alles, was jemand wirklich tun muss, ist, die Benutzertabelle zu kopieren und die Verschlüsselungsassembly zu kopieren (jeder mit …

34 security client-relations passwords

6

Was ist eine gute Sicherheitsmethode zum Speichern einer kritischen Datenbank auf den Laptops von Entwicklern?

Wir haben ein paar Hinweise: Entwickler benötigen ein Replikat der Produktionsdatenbank auf ihren Computern. Entwickler haben das Passwort für diese Datenbank in den App.config-Dateien. Wir wollen nicht, dass die Daten in dieser Datenbank kompromittiert werden. Einige Lösungsvorschläge und deren Nachteile: Full-Disk-Verschlüsselung. Dies löst alle Probleme, beeinträchtigt jedoch die Leistung des …

33 database security

4

Soll MVC / REST eine 403 oder 404 für Ressourcen anderer Benutzer zurückgeben?

Bei der Arbeit mit einer ressourcenbasierten Site (z. B. einer MVC-Anwendung oder einem REST-Service) haben wir zwei Hauptoptionen, wenn ein Client versucht, auf GETeine Ressource zuzugreifen, auf die er keinen Zugriff hat: 403 , die besagt, dass der Client nicht autorisiert ist ; oder 404 , die besagt, dass die …

33 web-development web-applications security web-services privacy

6

Wie sicher ist die lokale Speicherung?

Die Frage sagt eigentlich schon alles. Ich möchte eine Dienstleistung erbringen, möchte aber selbst keine Daten in einer Datenbank speichern. Angesichts der neuesten Nachrichten über Hacking usw. scheint es mir besser zu sein, dass Kunden die vollständige Kontrolle über ihre Daten haben. Das Problem ist, dass die gespeicherten Daten möglicherweise …

33 javascript security

6

Aktualisieren des Kennwort-Hashings, ohne ein neues Kennwort für vorhandene Benutzer zu erzwingen

Sie pflegen eine vorhandene Anwendung mit einer etablierten Benutzerbasis. Mit der Zeit wird entschieden, dass die aktuelle Kennwort-Hashing-Technik veraltet ist und aktualisiert werden muss. Außerdem möchten Sie aus UX-Gründen nicht, dass vorhandene Benutzer gezwungen werden, ihr Kennwort zu aktualisieren. Das gesamte Passwort-Hashing-Update muss hinter dem Bildschirm erfolgen. Nehmen Sie für …

32 security language-agnostic passwords

5

Best Practices für die Ausführung von nicht vertrauenswürdigem Code

Ich habe ein Projekt, in dem ich Benutzern erlauben muss, beliebigen, nicht vertrauenswürdigen Python-Code ( ein bisschen wie diesen ) auf meinem Server auszuführen . Ich bin ziemlich neu in Python und möchte Fehler vermeiden, die Sicherheitslücken oder andere Schwachstellen in das System einführen. Gibt es Best Practices, empfohlene Lektüre …

31 python security web-services

14

Ist es ethisch korrekt, Jugendlichen Informationen über Softwareviren zu vermitteln? [geschlossen]

Ich meldete mich freiwillig, um einen Computerclub nach der Schule an der Mittelschule meines Sohnes zu unterrichten. Das Interesse an Computerviren ist groß. Ich habe darüber nachgedacht, ihnen zu zeigen, wie sie einen einfachen Batch-Datei-Virus erstellen, der andere Batch-Dateien im selben Verzeichnis infiziert. Zeigen Sie auch, wie das Erstellen einer …

31 security ethics

3

JSON Web Token - Warum ist die Nutzlast öffentlich?

Ich kann die Gründe nicht verstehen, warum die Claims / Payload eines JWT nach der Base64-Dekodierung öffentlich sichtbar gemacht werden. Warum? Es scheint viel nützlicher zu sein, es mit dem Geheimnis verschlüsseln zu lassen. Kann jemand erklären, warum oder in welcher Situation es sinnvoll ist, diese Daten öffentlich zu halten?

30 security json authentication jwt

3

Kernelmodus-Webserver: Eine clevere Optimierung oder ein Sicherheits-Albtraum?

Ich habe einen Hacker News-Thread gelesen, in dem ein Benutzer einen Link aus dem Jahr 2011 veröffentlicht und erklärt, dass IIS viel schneller ist als die meisten anderen (* nix) Webserver. Ein anderer Benutzer antwortet und erklärt, dass IIS diesen Vorteil durch ein Kernelmodul mit dem Namen HTTP.sys erzielt . …

28 security operating-systems iis web-servers apache2

1

Wenn die Spezifikation fehlerhaft ist, sollte sie trotzdem befolgt werden?

Ich wurde beauftragt, eine Integration in eine der Anwendungen meines Arbeitgebers in ein externes System zu entwickeln, das von unserem Kunden entwickelt wurde. Die Spezifikation unseres Kunden für die Integration, die einige offensichtliche Sicherheitsmängel aufweist. Die Fehler würden einem nicht autorisierten Benutzer den Zugriff auf das System ermöglichen, um eingeschränkte …

28 architecture security ethics specifications

4

Lohnt es sich überhaupt zu überprüfen, ob Guid.NewGuid () Guid.Empty ist?

In einem der Projekte, an denen ich arbeite, sieht man ziemlich regelmäßig folgendes Muster: var guid = Guid.NewGuid().ToString(); while (guid == Guid.Empty.ToString()) { guid = Guid.NewGuid().ToString(); } Obwohl ich verstehe, dass eine GUID nicht garantiert eindeutig ist und gemäß der MSDN-Dokumentation eine generierte GUID Null sein kann , ist dies …

28 .net security

Als «security» getaggte Fragen