Softwareentwicklung security

9

Was ist eine vernünftige und sichere Passwortanforderung für die Benutzerregistrierung?

Dies ist die Passwortrichtlinie, die ich gerade von UPS erhalten habe (nur zur Überprüfung des Paketstatus): Ihr Passwort muss zwischen 8 und 26 Zeichen lang sein. Es muss mindestens drei der folgenden Zeichentypen enthalten: Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen oder Leerzeichen. Das Passwort enthält möglicherweise nicht Ihre Benutzer-ID, Ihren Namen oder …

10 security passwords

2

Sollten Zugriffsberechtigungen und Rollen in der Nutzlast von JWT enthalten sein?

Sollten Informationen zu den Berechtigungen und Rollen des Clients in JWT enthalten sein? Solche Informationen im JWT-Token zu haben, ist sehr hilfreich, da es jedes Mal, wenn ein gültiges Token eingeht, einfacher ist, die Informationen über die Berechtigung des Benutzers zu extrahieren, und es nicht erforderlich ist, die Datenbank für …

9 security authentication jwt

2

Wie schützen CDNs Failover-Sites vor DDoS-Angriffen?

Ich bin im Entwurfsprozess für eine Java-Webanwendung, die ich wahrscheinlich in Google App Engine (GAE) bereitstellen werde. Das Schöne an GAE ist, dass ich mir wirklich keine Sorgen machen muss, meine App vor dem gefürchteten DDoS-Angriff zu schützen. Ich gebe nur eine "Abrechnungsobergrenze" an, und wenn mein Datenverkehr diese Obergrenze …

9 java web-applications security google-app-engine

3

So trennen Sie vertrauliche Daten in der Datenbank (MySql)

Ich muss eine Datenbank entwerfen, die Informationen über persönliche Krankheiten von Benutzern enthält. Was kann der Ansatz sein, um die Spalten der DB-Tabellen zu implementieren: Verschlüsseln der Informationen, Trennen von Daten in zwei verschiedenen DBs, einer für vertrauliche Daten und einer für nicht vertrauliche Daten oder beides oder ein anderer …

9 security database-design mysql

2

Imitieren von "RBAC AuthZ" von Exchange Server in meiner eigenen Anwendung ... (gibt es etwas Ähnliches?)

Exchange 2010 verfügt über ein Delegierungsmodell, bei dem Gruppen von WinRM- Cmdlets im Wesentlichen in Rollen gruppiert und die Rollen einem Benutzer zugewiesen werden. ( Bildquelle ) Dies ist ein großartiges und flexibles Modell, wenn man bedenkt, wie ich alle Vorteile von PowerShell nutzen kann, während ich die richtigen Low-Level-Technologien …

9 c# security wcf authorization iis7

1

Berechtigungen / rechtes Modell / Muster für .NET-Anwendungen

Ich muss flexibel UND einfach implementieren (falls es so etwas gibt) und gleichzeitig, wenn möglich, eingebaute Mittel einsetzen Bisher habe ich MembershipProvider und RoleProviders implementiert. Das ist cool, aber wohin gehe ich als nächstes? Ich habe das Gefühl, ich muss den Begriff "Priviledge" hinzufügen und diese dann in der Anwendung …

9 design-patterns security

11

Denken Sie beim Codieren aktiv an Sicherheit?

Denken Sie beim Codieren aktiv darüber nach, dass Ihr Code möglicherweise auf eine Weise ausgenutzt wird, für die er ursprünglich nicht vorgesehen war, und erhalten Sie so Zugriff auf geschützte Informationen, führen Sie Befehle aus oder etwas anderes, das Ihre Benutzer nicht tun sollen?

9 security

3

Wann sollte ein IT-Berater die vollständige Disc-Verschlüsselung verwenden?

Unter welchen Umständen sollte ein IT-Berater seine Festplatte verschlüsseln, um den Code / die Daten seiner Kunden zu schützen? Ich denke, wenn es nicht viel zu Ihrer Arbeitsbelastung beiträgt, können Sie auch die vollständige Disc-Verschlüsselung mit einem "schwachen" Passwort verwenden, um zumindest zu verhindern, dass jemand auf Ihre E-Mail-Dateien und …

9 security

2

Was sind die Gründe für das Versiegeln eines .jars und wie würde ich das überprüfen?

Ich habe ein versiegeltes Glas erstellt, sehe aber keinen Unterschied zur Verwendung eines nicht versiegelten Glases. Welche Tests kann ich durchführen, um zu überprüfen, ob das Glas versiegelt ist? Welchen Grund könnten wir bevorzugen, einen versiegelten gegenüber einem zu verwenden? Wird ein Siegel den Benutzern meiner Projekte Probleme bereiten?

9 java security

1

Wie häufig sollte die Token-Aktualisierung in der CSRF-Sicherheit sein?

Zunächst einmal ist dieser Beitrag das, was Jeff Atwood über CSRF-Token sagt. Auf dieser Seite sagt er weiter: Eine noch stärkere, wenn auch komplexere Präventionsmethode besteht darin, den Serverstatus zu nutzen, um für jedes einzelne HTML-FORMULAR, das Sie an den Client senden, einen eindeutigen Zufallsschlüssel zu generieren (und mit Zeitüberschreitung …

9 web-development programming-practices security patterns-and-practices

1

Sicheres Sandboxing von Benutzerskripten in einem C ++ - Programm

Ich habe an einem persönlichen Projekt in C # gearbeitet, dessen Zweck mehr oder weniger darin besteht, dem Benutzer das Ausführen von Skripten zu ermöglichen, die von anderen Benutzern geschrieben wurden, und die Berechtigungen dieses Skripts einzuschränken. Mein Programm kompiliert die Skripte mithilfe einer Bibliothek eines Drittanbieters, speichert sie mithilfe …

8 c++ security

2

Best Practice für vertrauliche Informationen in der Quellcodeverwaltung

Ich weiß, dass dieses Thema viel behandelt wurde, aber ich kann keine Antwort auf meine spezifische Situation finden. Derzeit verwende ich .gitignore, um vertrauliche Inhalte auszuschließen und separat (Konfigurationsdateien usw.) aufzubewahren. Da sich meine Codebasis in immer mehr Projekte erweitert, wird dies immer schwieriger zu verwalten und ich habe auch …

8 git security

1

Token-basierte Authentifizierung mithilfe von Zugriffs- und Aktualisierungstoken

Ich implementiere ein tokenbasiertes Authentifizierungssystem für eine REST-API unter Verwendung eines kurzlebigen Zugriffstokens und eines langlebigen Aktualisierungstokens. Dies ist eine abstrakte Übersicht über die relevanten API-Endpunkte (HTTPS wird für alle Endpunkte erzwungen): Endpunkte: POST /register/ POST /login/ POST /logout/ POST /password/change/ Implementierung: POST /register/:: Anfrage: Der Client sendet Benutzernamen, E-Mail …

8 design rest api security authentication

3

REST-API-Autorisierungsstrategien

Hier gibt es viele Fragen, die sich mit den Mechanismen der Authentifizierung und Autorisierung von RESTful-APIs befassen, aber keine von ihnen scheint Einzelheiten zur Implementierung sicherer Dienste auf Anwendungsebene zu enthalten. Angenommen, meine Webanwendung (ich habe Java im Sinn, dies gilt jedoch für jedes Backend) verfügt über ein sicheres Authentifizierungssystem, …

8 java rest security backend

1

Sicheres Senden von Daten aus einem gemeinsam genutzten gehosteten PHP-Skript an lokales MSSQL

Ich versuche, Daten von einem Webhook (von einem Web Cart) zu einem lokalen Microsoft SQL Server hinzuzufügen. Es scheint mir der beste Weg zu sein, ein PHP-Skript zu verwenden, um nach neuen Daten zu suchen (POST als json), sie zu analysieren und dann abzufragen, um sie zu MSSQL hinzuzufügen. Ich …

8 php security sql-server server server-security

Als «security» getaggte Fragen