Questions sur security

6
réponses

meilleure pratique pour générer un token aléatoire pour mot de passe oublié

je veux générer un identifiant pour mot de passe oublié . J'ai lu que je peux le faire en utilisant timestamp avec mt_ ... ons demandé ici, mais je suis de plus en plus confus après avoir lu différentes opinions des différentes personnes.
demandé sur 2013-09-20 11:06:56
7
réponses

Comment mettre en œuvre des réinitialisations de mots de passe?

je travaille sur une application en ASP.NET, et je me demandais spécifiquement comment je pouvais implémenter une fonc ... serait modélisée et manipulée dans SQL Server ou n'importe quel ASP.NET MVC liens vers une réponse serait appréciée.
demandé sur 2009-03-20 04:23:20
12
réponses

Pourquoi la vérification d'un mot de passe erroné devrait-elle prendre plus de temps que la vérification du bon mot de passe?

cette question m'a toujours troublé. sous Linux, lorsqu'on vous demande un mot de passe, si votre entrée est ... emps à vérifier. Pourquoi est-ce? j'ai observé cela dans tous les distributions Linux j'ai jamais essayé.
demandé sur 2009-04-03 06:24:21
2
réponses

Protection CSRF avec en-tête CORS Origin vs. jeton CSRF

cette question Est sur la protection contre les attaques de contrefaçon de demande de Site Cross seulement. i ... tions natives, navigateurs manipulés, bogues dans le script cross site example.com's page, ...
demandé sur 2014-07-10 19:17:30
6
réponses

Différence entre SSL & TLS

selon wikipedia: http://en.wikipedia.org/wiki/Transport_Layer_Security semble comme TLS est un remplacement à SSL, mais la plupart des sites Web utilisent encore SSL?
demandé sur 2010-09-11 15:05:39
10
réponses

Méthode préférée de stockage des mots de passe dans la base de données

Quelle est votre méthode/type de données préféré pour stocker les mots de passe dans une base de données (de préférenc ... 16). Est-ce la méthode préférée ou devrais-je utiliser un type de données différent ou allouer plus d'espace que 16?
demandé sur 2009-03-05 20:10:36
6
réponses

Désactiver la sécurité Web de domaine croisé dans Firefox

dans Firefox, comment faire l'équivalent de --disable-web-security dans Chrome. Ceci a été posté beaucoup, mais jamais ... encore une fois, ce n'est que pour tester avant de pousser sur prod qui, alors, serait sur un domaine autorisé.
demandé sur 2013-07-18 03:19:28
6
réponses

Comment puis-je protéger MySQL nom d'utilisateur et mot de passe de la décomposition?

Java .class les fichiers peuvent être décomposés assez facilement. Comment puis-je protéger ma base de données si je dois utiliser les données de connexion dans le code?
demandé sur 2009-01-14 16:04:39
3
réponses

Sécurisation de L'API REST sans réinventer la roue

lors de la conception de L'API REST est-il commun d'authentifier un utilisateur en premier? le cas d'utilisat ... mal" en particulier lorsqu'il s'agit de la sécurité. EDIT: je suppose que je devrais avez mentionné OAuth.
demandé sur 2011-08-30 06:28:46
5
réponses

Comment valider les justificatifs d'identité de domaine?

je veux valider un ensemble d'informations d'identification contre le contrôleur de domaine. par exemple: Usern ... s il s'agit d'une question générale de Windows. On peut supposer que les clients ont le .net Framework 2.0 installé.
demandé sur 2008-11-29 01:35:40
3
réponses

Pratiques exemplaires en matière de sécurité JSON?

en faisant des recherches sur la question de JSON vs XML , je suis tombé sur cette question . Maintenant, l'un ... u script PHP. en outre, comment exactement utilisez-vous des URLs imprévisibles pour augmenter la sécurité?
demandé sur 2008-12-28 02:40:07
11
réponses

Est-il sûr de soumettre un formulaire HTTP à HTTPS?

est-il acceptable de soumettre à partir d'un formulaire http via https? Il semble qu'il devrait être sûr, mais il per ... t devrais-je juste faire tout les utilisateurs se connectent à une page sécurisée (ou sécurisent la page de renvoi)?
demandé sur 2008-11-08 06:00:07
8
réponses

Comment configurer HttpOnly cookies dans tomcat / java webapps?

après avoir lu le billet de Jeff sur protéger vos Cookies: HttpOnly . J'aimerais implémenter des cookies HttpOnly dans mon application web. Comment dire à tomcat d'utiliser des cookies http uniquement pour les sessions?
demandé sur 2008-08-29 01:09:30
4
réponses

Quels sont les risques de courir "sudo pip"?

de temps en temps je tombe sur commentaires ou réponses qui indiquent avec emphase que l'exécution pip sous s ... Ce n'est pas également une question sur la façon d'éviter d'utiliser des sudo , mais précisément pourquoi vouloir.
demandé sur 2014-01-11 02:45:27
5
réponses

Comment Google Maps sécurise-t-elle sa clé API? Comment faire quelque chose de similaire?

actuellement, Google vous demande de créer une clé API qui est spécifique au domaine d'où la carte sera servie. Commen ... est probablement juste de suivi et pas vraiment pour garantir que leur API est utilisée par la personne avec la clé.
demandé sur 2010-02-13 05:54:25
6
réponses

Production de sel et logiciels libres

si je comprends bien, la meilleure pratique pour générer des sels est d'utiliser une formule cryptique (ou même une co ... 'avoir un sel si le code est open source, parce que les sels peuvent être facilement manipulés à l'envers. ?
demandé sur 2009-10-29 20:00:59
6
réponses

Vagabond incertain par défaut?

EDIT 2 : TL;DR: la réponse a été oui en 2013, mais ce défaut a été corrigé en suivant les instruc ... e qui d'entrer dans votre machine hôte/développement (par exemple, en utilisant un hameçon post-commit malveillant).
demandé sur 2013-02-05 23:48:00
5
réponses

SSL et homme-au-milieu de l'incompréhension

j'ai lu des tonnes de documentation liée à ce problème, mais je ne peux toujours pas rassembler tous les morceaux, don ... ntification mutuelle (seulement les questions de sécurité sont important, pas la complexité de la mise en œuvre)?
demandé sur 2013-02-16 10:15:16
6
réponses

Comment sécuriser les appels de L'API REST?

je développe l'application web restful qui utilise un cadre web populaire sur le backend, par exemple (rails, sinatra, ... veux pas que ces appels API soient publics et appelés par curl ou simplement en entrant le lien sur le navigateur.
demandé sur 2012-12-16 00:00:16
13
réponses

Java.sécurité.Invalidalgorithmarameterexception: le paramètre trustAnchors doit être non vide sous Linux, ou pourquoi la truststore par défaut est vide [dupliquer]

cette question a déjà une réponse ici: Erreur trustAnchors paramètre doit être no ... ela pourrait être dû à certaines politiques d'amazon (je pense que java était pré-installé, mais je ne suis pas sûr)
demandé sur 2011-01-22 01:44:08
5
réponses

Utilisez-vous les fonctions 'safe' du TR 24731?

le comité ISO C ( ISO/CEI JTC1/SC21/WG14 ) a publié TR 24731-1 et travaille sur TR 24731-2 : ... une valeur négative? prévoyez-vous d'utiliser la bibliothèque à l'avenir? traquez-vous le TR24731-2?
demandé sur 2008-12-17 01:21:00
4
réponses

Quel est le risque de déployer des symboles de débogage (fichier pdb) dans un environnement de production?

j'ai une application qui enregistre les traces de strack d'exception et je voulais que ces traces de pile incluent les ... s n'affichez pas les traces de la pile aux utilisateurs finaux pour commencer). Ou Ai-je trop simplifié les choses?
demandé sur 2009-08-20 20:46:31
12
réponses

Exploitable C# Fonctions [fermé]

Cette question est similaire à Exploitable Fonctions PHP . Entaché proviennent les données de l'utilisa ... nctionnellement qu'un pirate souhaite influencer? Comment les gens font-ils accidentellement du code C dangereux?
demandé sur 2010-10-15 12:21:10
7
réponses

Spring Test & Security: comment simuler l'authentification?

j'essayais de trouver comment tester l'unité si les URL de mes contrôleurs sont correctement sécurisées. Juste au cas ... [email protected]: RemoteIpAddress: 127.0.0.1; SessionId: null; Granted Authorities: ROLE_ANONYMOUS
demandé sur 2013-03-04 18:11:35
5
réponses

Est-il sûr de stocker les mots de passe en tant que variables d'environnement (plutôt que sous forme de texte) dans les fichiers de configuration?

je travaille sur quelques applications dans les rails, django (et un peu de php), et une des choses que j'ai commencé ... chiers (en s'assurant, bien sûr, de ne pas laisser ces fichiers dans des repos publics ou quoi que ce soit d'autre)?
demandé sur 2012-09-17 18:30:45
9
réponses

Assainir / réécrire HTML du côté Client

je dois afficher les ressources externes chargées via des requêtes de domaine croisées et m'assurer de n'afficher que ... es noires (par exemple: embed ou object ). alors y a-t-il des liens et des exemples reliés au JavaScript?
demandé sur 2008-11-17 16:34:33
8
réponses

La "sécurité D'accès au Code" est-elle utilisée dans le monde réel?

Avertissement: les nouvelles versions de .net et de .Net core ont supprimé et/ou changé" Code Access Security ... t pas un "examen de base" qui inclut les SAE. Je ne sais pas si cela fera partie des nouveaux examens Winforms/WPF.
demandé sur 2009-10-14 19:07:24
3
réponses

Est-ce que L'API D'authentification JSON de Rails (utilisant la Devise) est sécurisée?

mon application Rails utilise la Devise pour l'authentification. Il a une application soeur iOS, et les utilisateurs p ... avoir un contrôleur hérite de Devise::RegistrationsController et les autres de ApiController . Merci!
demandé sur 2013-12-23 18:48:57
20
réponses

Quelles sont les meilleures pratiques pour éviter les attaques xss sur un site PHP?

J'ai configuré PHP pour que les guillemets magiques soient activés et que les globals s'enregistrent soient désactivés ... ue dois-je faire d'autre et comment puis-je m'assurer que les choses que j'essaie de faire sont toujours fait.
demandé sur 2008-09-16 15:20:02
1
réponses

Erreur SSL: impossible d'obtenir un certificat d'émetteur local

j'ai du mal à configurer SSL sur un serveur Debian 6.0 32bit. Je suis relativement nouveau avec SSL alors s'il vous pl ... pes s'il vous Plaît laissez-moi savoir si il y a tout ce que je peux essayer, ou si tout est mal configuré.
demandé sur 2014-06-23 22:34:09