Questions sur security

12
réponses

Le guide définitif de la forme authentification d'un site web [fermé]

en fonction du Formulaire d'authentification de sites web de nous pensons que le débordement de la pile ne do ... Suggère des sous-rubriques soumettre de bons articles sur ce sujet rédaction de la réponse officielle
demandé sur 2008-08-02 23:51:50
17
réponses

Pourquoi est-ce que char [] est préféré à String pour les mots de passe?

dans Swing, le champ Mot de passe a une méthode getPassword() (retourne char[] ) au lieu de la méthode habituelle getTe ... ésente-t-il une menace pour la sécurité en ce qui concerne les mots de passe? Il est incommode d'utiliser char[] .
demandé sur 2012-01-16 18:20:42
14
réponses

Sécuriser le hachage et le sel pour les mots de passe PHP

on dit actuellement que le MD5 est partiellement dangereux. En tenant compte de cela, j'aimerais savoir quel mécanisme ... des clés, des mots de passe pour asp.net comment implémenter des mots de passe salés dans Tomcat 5.5
demandé sur 2008-12-31 01:02:45
12
réponses

Comment fonctionne L'injection SQL de la BD" Bobby Tables " XKCD?

Simplement en la regardant: (Source: https://xkcd.com/327/ ) Qu'est-ce SQL n': ... les commentaires, mais ne possède pas le mot DROP get a commenté ainsi depuis qu'elle est partie de la même ligne?
demandé sur 2008-12-02 00:50:10
18
réponses

Quelle est la meilleure méthode pour assainir les entrées des utilisateurs avec PHP?

y a-t-il une fonction catchall quelque part qui fonctionne bien pour assainir les entrées des utilisateurs pour l'injection SQL et les attaques XSS, tout en permettant certains types de balises html?
demandé sur 2008-09-25 00:20:39
18
réponses

Les meilleures Pratiques pour sécuriser une API REST / service web [fermé]

lors de la conception d'une API ou d'un service REST, y a-t-il des pratiques exemplaires établies en matière de sécuri ... s WCF avec des messages Pox / JSON sérialisés pour nos API/Services REST construits avec v3.5 of the .NET Framework.
demandé sur 2008-08-11 09:44:42
30
réponses

Comment éviter l'ingénierie inverse d'un fichier APK?

je développe une application de traitement de paiement pour Android, et je veux empêcher un pirate informatique d'acc ... tage plus difficile, voire impossible? Que puis-je faire de plus pour protéger le code source de mon fichier APK?
demandé sur 2012-12-13 10:42:14
7
réponses

Les déclarations préparées par AOP sont-elles suffisantes pour prévenir L'injection de SQL?

disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM us ... arées contre l'injection de SQL. Dans ce contexte, Je ne me soucie pas de XSS ou d'autres vulnérabilités possibles.
demandé sur 2008-09-25 19:43:35
4
réponses

L'injection SQL qui contourne mysql la vraie chaîne d'échappement()

y a-t-il une possibilité D'injection SQL même en utilisant la fonction mysql_real_escape_string() ? considérez ... ne fonctionne pas. connaissez-vous une injection possible qui pourrait passer par le code PHP ci-dessus?
demandé sur 2011-04-21 11:56:11
13
réponses

Pourquoi OAuth v2 possède-t-il à la fois des Tokens D'accès et de rafraîchissement?

la Section 4.2 du projet de protocole OAuth 2.0 indique qu'un serveur d'autorisation peut renvoyer à la fois un access ... simplement faire durer le access_token aussi longtemps que le refresh_token et ne pas avoir un refresh_token ?
demandé sur 2010-08-15 19:25:41
25
réponses

Pourquoi l'utilisation de la fonction eval JavaScript est-elle une mauvaise idée?

la fonction eval est un moyen puissant et facile de générer dynamiquement du code, alors quelles sont les mises en garde?
demandé sur 2008-09-17 23:09:54
8
réponses

Les en-têtes HTTPS sont-ils cryptés?

lors de l'envoi de données via HTTPS, je sais que le contenu est crypté, cependant j'entends des réponses contradictoi ... combien de en-têtes HTTPS sont cryptés? y compris les URLs des requêtes GET/POST, Les Cookies, etc.
demandé sur 2008-10-09 19:00:35
9
réponses

Quelle est la différence entre Integrated Security = True et Integrated Security = SSPI?

j'ai deux applications qui utilisent la Sécurité Intégrée. L'un assigne Integrated Security = true dans la chaîne de ... ted Security = SSPI . Quelle est la différence entre SSPI et true dans le contexte de la sécurité intégrée?
demandé sur 2009-08-05 00:15:32
30
réponses

Le pire trou de sécurité que vous ayez vu? [fermé]

Quel est le pire trou de sécurité que vous ayez jamais vu? C'est probablement une bonne idée de garder les détails lim ... ouvez un trou de sécurité, et un autre avec quelques réponses utiles si une entreprise ne répond pas (semble).
demandé sur 2009-09-24 09:34:21
30
réponses

Désactiver la fonctionnalité "Enregistrer le mot de passe" du navigateur

l'une des joies de travailler pour un organisme gouvernemental de soins de santé est d'avoir à faire face à toute la p ... ur de développement web a longtemps, mais ne savent pas que j'ai rencontré avant. Toute aide est appréciée.
demandé sur 2008-08-28 18:18:09
8
réponses

La meilleure façon de stocker le mot de passe dans la base de données [fermé]

je travaille sur un projet qui doit avoir une authentification (nom d'utilisateur et mot de passe) il se conn ... uis ouvert à l'idée que cette info ne pas être stockées dans la base de données si une bonne raison peut être fourni
demandé sur 2009-06-28 05:50:50
9
réponses

JWT (JSON Web Token) prolongation automatique de l'expiration

j'aimerais implémenter l'authentification basée sur JWT à notre nouvelle API REST. Mais puisque l'expiration est défin ... ation sur le serveur? y a-t-il d'autres options? L'utilisation de JWT n'est-elle pas adaptée à ce scénario?
demandé sur 2014-11-04 18:41:22
17
réponses

Comment sécuriser les mots de passe de base de données en PHP?

quand une application PHP fait une connexion de base de données, elle a bien sûr généralement besoin de passer un logi ... ure façon de sécuriser ce mot de passe? Il semble que simplement l'écrire dans le code PHP n'est pas une bonne idée.
demandé sur 2008-09-19 03:27:03
1
réponses

La différence entre le compte "système Local" et le compte "SERVICE réseau"?

j'ai écrit un service Windows qui produit un processus séparé. Ce processus crée un objet COM. Si le service fonctionn ... vice réseau" diffèrent? Ces comptes intégrés semblent très mystérieux et personne ne semble savoir beaucoup sur eux.
demandé sur 2009-02-04 08:30:33
5
réponses

Pourquoi est-ce que JsonRequestBehavior est nécessaire?

pourquoi Json Request Behavior est-il nécessaire? si je veux restreindre les requêtes HttpGet à mon action, ... et pour chaque JsonResult que nous avons. Si je veux refuser les requêtes get, j'ajouterai l'attribut HttpPost .
demandé sur 2011-12-11 18:26:05
14
réponses

Pourquoi omettrait-on l'étiquette de fermeture?

je lis c'est une mauvaise pratique d'utiliser la balise de fermeture PHP ?> à la fin du fichier. Le problème de l ... le ' mais personne n'offre de bonnes raisons. y a-t-il une autre bonne raison de sauter la balise php finale?
demandé sur 2010-12-10 19:00:39
30
réponses

Approches CAPTCHA non basées sur l'image?

il semble que nous allons ajouter CAPTCHA support pour le débordement de la pile. Ceci est nécessaire pour prévenir ... ulins à vent ici, mais je voudrais avoir un moins <noscript> compatible CAPTCHA if possible. idées?
demandé sur 2008-08-12 08:59:35
27
réponses

Prepare statement IN clause alternatives?

quelles sont les meilleures solutions pour utiliser une clause SQL IN avec des instances de java.sql.PreparedStatement ... ourner les raisons de l'utilisation ? en premier lieu. quelles solutions de rechange sont disponibles?
demandé sur 2008-10-07 17:41:36
23
réponses

Fonctions PHP exploitables

j'essaye de construire une liste de fonctions qui peuvent être utilisées pour l'exécution de code arbitraire. Le but n ... je vais l'inclure ici. (Et je compte pas mysql_execute , puisque c'est une partie d'une autre classe d'exploiter.)
demandé sur 2010-06-25 08:34:35
25
réponses

Est-ce que GET ou POST est plus sûr que l'autre?

Lorsqu'on compare un accès HTTP à un post HTTP, quelles sont les différences d'un point de vue de la sécurité? Est l'u ... POST ou obtenir tout à fait et en utilisant le code côté serveur pour traiter les informations sensibles à la place?
demandé sur 2008-10-13 22:08:01
14
réponses

Comment les créer.fichier pfx du certificat et de la clé privée?

il me faut .fichier pfx pour installer https sur le site web sur IIS. j'ai deux fichiers séparés: certificat ... rmat PFX (il est grisé) Existe-t-il des outils pour faire cela ou C# exemples de faire cela programtically?
demandé sur 2011-06-10 18:38:19
9
réponses

Processeurs de paiement-que dois-je savoir si je veux accepter les cartes de crédit sur mon site web? [fermé]

cette question parle des différents processeurs de paiement et de ce qu'ils coûtent, mais je cherche la réponse à ... oîte. assurez-vous que la boîte est dans une pièce avec un verrouillage physique ou une combinaison de code.
demandé sur 2008-09-09 05:50:45
1
réponses

Que sont tous les comptes d'utilisateur pour IIS / ASP.NET et en quoi diffèrent-ils?

sous Windows Server 2008 avec ASP.NET 4.0 installé il y a toute une série de comptes d'utilisateurs liés, et je ne peu ... DefaultAppPool ASP.NET v4.0 NETWORK_SERVICE LOCAL SERVICE. Qu'est-ce que c'est?
demandé sur 2011-04-20 15:05:55
20
réponses

Comment rediriger toutes les requêtes HTTP vers HTTPS

j'essaie de rediriger toutes les requêtes HTTP non sécurisées sur mon site (par exemple http://www.example.com ) vers HTTPS ( https://www.example.com ). J'utilise PHP btw. Puis-je faire dans .htaccess?
demandé sur 2010-11-03 03:14:20
10
réponses

Utiliser openssl pour obtenir le certificat à partir d'un serveur

j'essaie d'obtenir le certificat d'un serveur distant, que je peux ensuite utiliser pour ajouter à mon keystore et uti ... as aider. J'ai essayé plusieurs chemins d'accès en vain. s'il vous plaît, faites-moi savoir où je vais mal.
demandé sur 2011-10-25 11:08:30