«security» 태그된 질문

이 질문은 항상 저를 괴롭 혔습니다. Linux에서 암호를 묻는 메시지가 표시되면 입력 한 내용이 맞으면 거의 지체없이 즉시 확인합니다. 그러나 반대로 잘못된 암호를 입력하면 확인하는 데 시간이 더 걸립니다. 왜 그런 겁니까? 나는 내가 시도한 모든 Linux 배포판 에서 이것을 관찰 했습니다.

83 security  authentication  passwords 

JAAS를 이해하는 데 어려움을 겪고 있습니다. 모든 것이 예상보다 복잡해 보입니다 (특히 Sun 자습서). 사용자 정의 사용자 저장소를 사용하여 Struts + Spring + Hibernate를 기반으로하는 Java 애플리케이션에서 보안 (인증 + 권한 부여)을 구현하는 방법에 대한 간단한 자습서 또는 예제가 필요합니다. ACEGI를 사용하여 구현할 수 있습니다.

83 java  security  spring  spring-security  jaas 

애플리케이션 내에서 특정 작업을 수행하기위한 권한을 처리하는 시스템을 어떻게 모델링 하시겠습니까?

82 security  permissions  action  modeling 

요청 및 응답 콘텐츠에 JSON을 독점적으로 사용하는 웹 서비스를 구축하고 있습니다 (즉, 양식 인코딩 된 페이로드 없음). 다음과 같은 경우 웹 서비스가 CSRF 공격에 취약합니까? POST예를 들어 최상위 JSON 객체가없는 모든 요청 {"foo":"bar"}은 400으로 거부됩니다. 예를 들어 POST콘텐츠 42가 있는 요청은 거부됩니다. 상관 POST이외의 콘텐츠 유형의 요청 application/json, 예를 들어 …

82 http  security  csrf 

도메인 간 요청을 통해로드 된 외부 리소스를 표시하고 " 안전한 "콘텐츠 만 표시해야 합니다. Prototype의 String # stripScripts 를 사용하여 스크립트 블록을 제거 할 수 있습니다 . 그러나 onclick또는 같은 핸들러 onerror는 여전히 존재합니다. 적어도 할 수있는 도서관이 있습니까? 스트립 스크립트 블록, DOM 핸들러를 죽이고, 검은 색으로 나열된 태그를 제거합니다 …

82 javascript  html  security  html-sanitizing 

ASP.NET에서 응용 프로그램을 작업 중이며 Password Reset내 자신을 롤링하려는 경우 함수를 구현할 수있는 방법이 구체적으로 궁금합니다 . 특히 다음과 같은 질문이 있습니다. 해독하기 어려운 고유 ID를 생성하는 좋은 방법은 무엇입니까? 타이머가 부착되어 있어야합니까? 그렇다면 얼마나 걸리나요? IP 주소를 기록해야합니까? 그것이 중요합니까? "비밀번호 재설정"화면에서 어떤 정보를 요청해야합니까? 이메일 주소 만? 아니면 …

81 c#  asp.net  asp.net-mvc  security 

예외 strack 추적을 기록하는 응용 프로그램이 있으며 프로덕션에 배포 할 때 해당 스택 추적에 파일 이름과 줄 번호를 포함하고 싶었습니다. 어셈블리와 함께 디버그 기호를 배포하는 방법을 알아 냈지만 문제를 조사하는 과정 에서이 질문을 건너 뛰었습니다 . 이는 프로덕션 환경에 pdb 파일을 포함하는 것이 좋지 않음을 의미합니다. 허용 된 답변에 대한 …

81 .net  security  production  debug-symbols 

닫힘 . 이 질문은 더 집중되어야 합니다. 현재 답변을 받고 있지 않습니다. 이 질문을 개선하고 싶으십니까? 이 게시물 을 편집 하여 한 가지 문제에만 초점을 맞추도록 질문을 업데이트하십시오 . 휴일 2 년 전 . 이 질문 개선 내부 엔터프라이즈 소프트웨어 플랫폼을위한 다중 페이지 관리 인터페이스를 구축하고 있습니다. 다양한 API, db …

80 security  node.js  design-patterns  express  authorization 

우리 회사는 현재 Java 웹 애플리케이션을 개발하고 있습니다. 일부 고객은 내부 SAML 서버 (ID 제공자?)를 가지고 있으며 이들과 통합하도록 요청했습니다. 그래서 최근에 나는 그것에 대해 읽고 OpenAM을 가지고 놀았습니다. 약 3 일이 지나면 전반적으로 이해하게되지만 여전히 내 지식에 약간의 차이가 있습니다. 내 희망은 누군가 나를 위해 이것을 해결할 수 있다는 …

80 security  authentication  saml 

나는 그것을 이해 strlcpy하고 strlcat대한 보안 교체로 설계되었습니다 strncpy및 strncat. 그러나 일부 사람들은 여전히 ​​자신이 안전하지 않으며 단순히 다른 유형의 문제를 야기 한다고 생각합니다 . 누군가 strlcpy또는 strlcat(즉, 항상 null로 문자열을 종료 하는 함수 )를 사용하여 보안 문제를 일으킬 수 있는 방법에 대한 예를 제공 할 수 있습니까 ? Ulrich …

80 c  security  strncpy  strlcpy 

두 가지 유형의 사용자가있는 애플리케이션이 있습니다. 사용자가 로그인하는 방법에 따라 애플리케이션의 다른 부분에 액세스 할 수 있기를 원합니다. 사용자가 액세스 할 수없는 것을 보지 못하도록 보안 모델을 구현하는 방법은 무엇입니까? 각 경로 구현의 보안 부분을 만드나요? 문제는 요청에 대해 중복 논리가 있다는 것입니다. 이것을 도우미 함수로 옮길 수는 있지만 호출하는 …

79 security  node.js  express 

기본 인증 / 기본 인증서를 사용하는 RESTful API에서 가져 오려고한다고 가정하면 해당 사용자 이름과 암호를 내 프로그램에 저장하는 가장 좋은 방법은 무엇입니까? 지금은 그냥 평문으로 앉아 있습니다. UsernamePasswordCredentials creds = new UsernamePasswordCredentials("myName@myserver","myPassword1234"); 보안에 더 신경을 쓰는 방법이 있습니까? 감사

79 java  security  authentication 

CSRF (Cross Site Request Forgery)는 일반적으로 다음 방법 중 하나로 방지됩니다. 참조 자 확인-RESTful이지만 신뢰할 수 없음 양식에 토큰을 삽입하고 서버 세션에 토큰을 저장하십시오-실제로 RESTful이 아닙니다. 암호화 된 일회용 URI-토큰과 같은 이유로 RESTful이 아닙니다. 이 요청에 대해 수동으로 비밀번호 보내기 (HTTP 인증에 사용 된 캐시 된 비밀번호가 아님)-RESTful하지만 편리하지 않음 …

78 security  http  rest  authorization  csrf 

iOS에서 CRL을 작동시킬 수 없습니다. 두 가지 테스트 사례를 만들었습니다. CA에서 발급 한 유효한 인증서가 있습니다. CA에서 발급 한 유효한 다른 인증서가 있지만 CA가 해당 인증서를 CRL에 추가했습니다. 그런 다음 CRL 검사를 활성화하는 취소 정책을 설정하고 성공해야합니다. func crlValidationTest(trustedCert: SecCertificate, certToVerify: SecCertificate) -> Bool { let basicPolicy = SecPolicyCreateBasicX509() let …

9 ios  swift  security  certificate  certificate-revocation