Softwareentwicklung security

5

Welche Best Practices sollten in einem PHP-Anmeldeskript angewendet werden?

Ich möchte meine Anmeldeskripte für Kundenwebsites neu schreiben, um sie sicherer zu machen. Ich möchte wissen, welche Best Practices ich in diese implementieren kann. Passwortgeschützte Control Panels sind in Hülle und Fülle vorhanden, aber nur sehr wenige scheinen Best Practices in Bezug auf das Schreiben von Code, die Geschwindigkeit und …

27 web-development php security

5

Validierung der Dateneingabe - Wo? Wie viel? [geschlossen]

Die Validierung von Dateneingaben war für mich immer ein ziemlicher interner Kampf. Kurz vor dem Hinzufügen eines echten Sicherheitsrahmens und -codes zu unserem Umschreibprojekt für Legacy-Anwendungen (bei dem der kartenschlossstarke Legacy-Sicherheitscode und die Datenvalidierung so gut wie erhalten bleiben), frage ich mich erneut, wie viel ich validieren soll. wo usw. …

27 development-process language-agnostic security data validation

5

Ist es möglich, Speicher aus einem anderen Programm zu lesen, indem der gesamte leere Speicherplatz auf einem System zugewiesen wird?

Theoretisch wäre es möglich, kürzlich freigegebenen Speicher von anderen Anwendungen zu lesen, wenn ich ein Programm erstellen würde, das den gesamten ungenutzten Speicher eines Systems belegt und weiterhin immer mehr Speicher anfordert, wenn andere Anwendungen Speicher freigeben, den sie nicht mehr benötigen ? Oder ist das irgendwie durch ein modernes …

26 security operating-systems memory

4

Web-API-Authentifizierungstechniken

Wir haben ein ASP.NET MVC-Web-Service-Framework, mit dem Sie XML / JSON für Benutzer bereitstellen können. Sie erhalten zwar Anfragen, haben aber Schwierigkeiten, den besten Weg (schnell, einfach, trivial für Benutzer, die mit Javascript oder OO-Sprachen codieren) zu finden, um Benutzer zu authentifizieren. Es ist nicht so, dass unsere Daten vertraulich …

26 security api web services rest

5

Wie erzwingen Webserver die Richtlinie mit demselben Ursprung?

Ich beschäftige mich eingehender mit der Entwicklung von RESTful-APIs und habe bisher mit einigen verschiedenen Frameworks gearbeitet, um dies zu erreichen. Natürlich bin ich auf die Richtlinie mit demselben Ursprung gestoßen, und jetzt frage ich mich, wie Webserver (und nicht Webbrowser) dies erzwingen. Soweit ich weiß, scheint eine gewisse Durchsetzung …

24 web-development security ajax http xmlhttprequest

11

Sollte ich akzeptieren, unsicheren Code zu schreiben, wenn mein Arbeitgeber mich dazu auffordert? [geschlossen]

Geschlossen. Diese Frage ist nicht zum Thema . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so dass es beim Thema für Software Engineering Stapel Börse. Geschlossen vor 4 Jahren . Mein Arbeitgeber hat mich gebeten, eine Funktion zu implementieren, die das Speichern von …

24 security legal

5

So implementieren Sie einen sicheren Kennwortverlauf

Passwörter sollten aus offensichtlichen Sicherheitsgründen nicht im Klartext gespeichert werden: Sie müssen Hashes speichern und den Hash sorgfältig generieren, um Regenbogentabellenangriffe zu vermeiden. Allerdings, in der Regel Sie die Anforderung haben die letzten speichern n Passwörter und minimaler Komplexität und minimalen Wechsel zwischen den verschiedenen Passwörter zu erzwingen (um den …

23 security passwords

7

Ist das Verschleiern / Verschleiern von öffentlich zugänglichen Datenbank-IDs wirklich eine bewährte Methode?

Ich habe gehört, dass Leute hier und da im Internet Vorträge halten, dass es die beste Vorgehensweise ist, öffentlich zugängliche Datenbank-IDs in Webanwendungen zu verschleiern. Ich nehme an, sie meinen hauptsächlich Formulare und URLs, aber ich habe nie mehr als einen Schluck zu diesem Thema gelesen. EDIT : Natürlich, jetzt, …

23 web-applications security

11

Von Konkurrenzunternehmen gestohlener \ gehackter Quellcode

Diese Frage wurde von Stack Overflow migriert, da sie in Software Engineering Stack Exchange beantwortet werden kann. Vor 8 Jahren migriert . Bei einigen Unternehmen, für die ich gearbeitet habe, haben Manager eine Menge Geld für IT-Sicherheitsberater ausgegeben. Hauptsächlich, weil sie Angst haben, dass wir den Quellcode von einer Konkurrenzfirma …

23 security

19

Verwendung von Raubkopien / Cracks für die Entwicklung [geschlossen]

Aus heutiger Sicht passt diese Frage nicht zu unserem Q & A-Format. Wir erwarten, dass die Antworten durch Fakten, Referenzen oder Fachwissen gestützt werden, aber diese Frage wird wahrscheinlich Debatten, Argumente, Abstimmungen oder erweiterte Diskussionen hervorrufen. Wenn Sie der Meinung sind, dass diese Frage verbessert und möglicherweise erneut geöffnet werden …

22 security ethics

1

Was ist die beste Vorgehensweise beim Umgang mit PRs zur Behebung von Sicherheitslücken im öffentlichen Repo?

Wie sollte ein Open-Source-Projekt mit einem öffentlichen Repository Pull-Requests (PRs), die sicher gemeldete, aber noch nicht öffentlich gemeldete Sicherheitslücken beheben, am besten handhaben? Ich bin an einem Open-Source-Projekt mit mehreren hundert Mitwirkenden beteiligt. Im Rahmen einer regelmäßig geplanten monatlichen Veröffentlichung veröffentlichen wir mehrmals im Jahr Sicherheitshinweise und Sicherheitslücken. Informationen zu …

22 open-source security github gitlab

4

Warum geben nicht parametrisierte Abfragen nicht nur einen Fehler zurück?

SQL-Injection ist ein sehr schwerwiegendes Sicherheitsproblem, zum großen Teil, weil es so einfach ist, es falsch zu machen: Die offensichtliche, intuitive Art, eine Abfrage mit Benutzereingaben zu erstellen, macht Sie anfällig, und die richtige Art, dies zu verringern, erfordert, dass Sie über Parameter informiert sind Abfragen und SQL-Injection zuerst. Mir …

22 security sql rdbms

5

Wo soll der private Schlüssel aufbewahrt werden?

Angenommen, ich möchte, dass einige Teile meiner Software verschlüsselt werden. Zum Beispiel die Anmeldeinformationen für eine Datenbank usw. Ich muss diese Werte irgendwo speichern, aber dies im Klartext zu tun, würde es einem Angreifer leicht machen, nicht autorisierten Zugriff zu erhalten. Wenn ich jedoch Klartext verschlüssele, wo speichere ich dann …

22 security cryptography

4

Bedenken der Programmierer bezüglich Exportbeschränkungen aus den USA

Diese Frage wurde von Stack Overflow migriert, da sie in Software Engineering Stack Exchange beantwortet werden kann. Vor 7 Jahren migriert . Welche Aspekte müssen beim Entwerfen und Veröffentlichen von Software berücksichtigt werden, die die Exportbeschränkungen der USA für kryptografische Software erfüllen muss? Laut Wikipedia gibt es verschiedene Kategorien, die …

21 security encryption cryptography

4

Vorhersage der Ausgabe von PHP's rand ()

Ich habe in zahlreichen Quellen gelesen, dass die Ausgabe von rand () von PHP als PRNG vorhersehbar ist, und ich akzeptiere das meistens als Tatsache, einfach weil ich es an so vielen Orten gesehen habe. Ich bin an einem Proof-of-Concept interessiert: Wie würde ich die Ausgabe von rand () vorhersagen? …

21 security random

Als «security» getaggte Fragen