«security» 태그된 질문

암호화 및 IT 보안과 관련된 질문 컴퓨터, 네트워크 또는 데이터베이스 보안 일 수 있습니다.

7
추측 할 수없는 비공개 URL은 비밀번호 기반 인증과 동일합니까?
웹에서 리소스를 공개하고 싶습니다. 이 리소스를 보호하고 싶습니다. 특정 개인 만 액세스 할 수 있도록합니다. 일종의 암호 기반 인증을 설정할 수 있습니다. 예를 들어, 파일을 제공하기 전에 들어오는 요청에서 올바른 자격 증명 (아마도 일부 사용자 백업 데이터베이스에 대해)을 확인하는 웹 서버를 통해서만 리소스에 액세스 할 수있었습니다. 또는 개인 URL을 사용할 …
7
보안 집약적 인 사이트의 작은 버그를 수정하기 위해 고용되었습니다. 코드를 살펴보면 보안 허점이 가득합니다. 너 뭐하니? [닫은]
누군가 사이트에서 작은 일을하도록 고용되었습니다. 대기업 사이트입니다. 매우 민감한 데이터가 포함되어 있으므로 보안이 매우 중요합니다. 코드를 분석하자마자 보안 허점으로 가득 차있는 것을 알았습니다. 읽고 많은 PHP 파일은 사용자의 get / post 입력을 mysql 요청 및 시스템 명령에 직접 입력합니다. 문제는 그를 위해 사이트를 만든 사람은 그 일에 의존하는 가족과 아이들을 …
3
REST API 보안 저장 토큰 vs. JWT vs OAuth
모바일 응용 프로그램과 API의 양이 매일 증가하고 있기 때문에 여전히 REST API를 보호하기위한 최상의 보안 솔루션을 찾고 있습니다. 다른 인증 방법을 시도했지만 여전히 약간의 오해가 있으므로 더 경험이 많은 사람의 조언이 필요합니다. 내가이 모든 것을 이해하는 방법을 알려 드리겠습니다. 무언가를 잘못 이해하면 알려주십시오. 일반적으로 WEB뿐만 아니라 REST API가 상태 비 …
104 security  rest  api  oauth  https 
8
신뢰할 수있는 모바일 애플리케이션에 대해서만 REST API를 보호하는 방법
REST API가 신뢰할 수있는 클라이언트, 내 경우에는 내 모바일 애플리케이션에서 생성 한 요청에만 응답하도록하려면 어떻게해야합니까? 원치 않는 요청이 다른 소스에서 오는 것을 방지하고 싶습니다. 사용자가 직렬 키 등을 채우지 않기를 원합니다. 설치 후, 사용자 상호 작용없이 장면 뒤에서 발생해야합니다. 내가 아는 한 HTTPS는 통신하는 서버의 유효성을 검사하는 것입니다. 물론 HTTPS를 …
96 security  rest  mobile 
7
로봇은 어떻게 보안 문자를 이길 수 있습니까?
웹 사이트 이메일 양식이 있습니다. 로봇에서 스팸을 방지하기 위해 사용자 지정 보안 문자를 사용합니다. 그럼에도 불구하고 여전히 스팸을받습니다. 왜? 로봇은 어떻게 보안 문자를 이길까요? 그들은 어떤 종류의 고급 OCR을 사용합니까 아니면 저장된 곳에서 솔루션을 얻습니까? 이 문제를 어떻게 방지 할 수 있습니까? 다른 유형의 보안 문자로 변경해야합니까? 전자 메일이 양식 …
84 security  captcha 
17
불법 복제로부터 소프트웨어를 어떻게 보호 할 수 있습니까?
왜 오늘날 해적이 그렇게 쉬운 것처럼 보입니까? 우리의 모든 기술 발전과 수십억 달러가 가장 믿을 수없고 마음을 끄는 소프트웨어를 엔지니어링하는 데 사용되면서 "일련 번호 / 활성화 키보다 불법 복제를 방지 할 수있는 다른 수단이 여전히 없다고 믿기 힘들 것 같습니다. ". 나는 아마도 엄청난 돈, 아마도 수십억 달러가 Windows 7 …
76 security 
15
클라이언트 측 Javascript에서 데이터베이스로 직접 이동하지 않는 이유가 있습니까?
가능한 중복 : 웹 "서버 이하"응용 프로그램 작성 따라서 Stack Exchange 복제본을 구축하고 백엔드 저장소로 CouchDB와 같은 것을 사용하기로 결정했다고 가정 해 봅시다. 내장 인증 및 데이터베이스 레벨 권한 부여를 사용하는 경우 클라이언트 측 Javascript가 공개적으로 사용 가능한 CouchDB 서버에 직접 쓰지 못하게 할 이유가 있습니까? 이것은 기본적으로 CRUD 응용 …
14
SQL 주입 방지 메커니즘이 매개 변수화 된 쿼리를 사용하는 방향으로 발전한 이유는 무엇입니까?
내가 보는 방식으로 SQL 인젝션 공격은 다음과 같이 방지 할 수 있습니다. 신중하게 선별, 필터링, 인코딩 입력 (SQL에 삽입하기 전에) 준비된 명령문 사용 / 매개 변수화 된 쿼리 나는 각각에 장단점이 있다고 가정하지만 왜 # 2가 사출 공격을 막는 사실상의 방법으로 이륙하여 고려 되었습니까? 더 안전하고 오류가 적은 경향이 있습니까? …
9
기본 키를 공개하지 않는 이유
교육 과정에서 실제 기본 키 (DB 키뿐만 아니라 모든 기본 접근 자)를 사용자에게 노출시키는 것은 잘못된 아이디어라고 들었습니다. 공격자가 자신이 아닌 내용을 읽을 수 있기 때문에 항상 보안 문제라고 생각했습니다. 이제 사용자가 어쨌든 액세스 할 수 있는지 확인해야하므로 그 뒤에 다른 이유가 있습니까? 또한 사용자가 어쨌든 데이터에 액세스해야하므로 외부 세계를위한 …
8
비밀번호 재사용을“보호”하기 위해 제출하기 전에 클라이언트에서 웹 페이지에서 비밀번호를 해시하고 서버에서 다시 해시하는 웹 페이지가 거의없는 이유는 무엇입니까?
인터넷에는 로그인 정보가 필요한 사이트가 많이 있으며 암호 재사용을 방지하는 유일한 방법은 서버에서 암호가 해시되는 "약속"입니다. 항상 그런 것은 아닙니다. 그래서 클라이언트 컴퓨터에서 암호를 해시하는 웹 페이지 (Javascript로)를 다시 해시 할 서버로 보내기 전에 얼마나 어려운지 궁금합니다. 이론적으로 이것은 추가 보안을 제공하지는 않지만 실제로는 서버에서 비밀번호를 해시하지 않는 "불량 사이트"로부터 …
7
사용자에게 제시된 오류 메시지에 스택 추적이 있어야합니까?
나는 직장에서 약간의 논쟁을 겪었으며 누가 옳은지, 옳은 일을 알아 내려고 노력하고 있습니다. 컨텍스트 : 고객이 회계 및 기타 ERP에 사용하는 인트라넷 웹 응용 프로그램입니다. 사용자에게 표시되는 오류 메시지 (사고가 발생할 때)에는 스택 추적을 포함하여 가능한 많은 정보가 포함되어야한다고 생각합니다. 물론, "오류가 발생했습니다. 개발자에게 아래 정보를 제출하십시오"라는 큰 친절 편지로 …
2
역할 및 권한 기반 액세스 제어
액세스 제어 (권한 부여)와 관련하여 역할과 권한의 본질적인 상충 관계를 이해하려고합니다. 시스템에서 Permission 은 세분화 된 액세스 단위 ( " 리소스 X 편집 ", " 대시 보드 페이지 액세스 "등)가됩니다. 역할 1+ 권한의 집합이 될 것입니다. 사용자 1+ 역할을 할 수 있습니다. 이러한 모든 관계 (사용자, 역할, 권한)는 모두 데이터베이스에 …
13
임의의 낯선 사람으로부터 소스 코드를 컴파일하는 것이 얼마나 안전합니까? [닫은]
직업 지원자가 자신의 기술을 증명하기 위해 보내는 코드를 검토한다고 가정합니다. 분명히 그들이 보내는 실행 파일을 실행하고 싶지 않습니다. 명확하지는 않지만 코드 컴파일 결과를 실행하지는 않습니다 (예를 들어 Java는 주석에서 실행 가능한 코드를 숨길 수 있습니다 ). 코드를 컴파일하는 것은 어떻습니까? 컴파일러 경고가 필요하지만 코드에 컴파일러를 악용하는 영리한 문자 시퀀스가 ​​포함되어 …
9
개발 시스템에서 바이러스 백신 소프트웨어를 선호하는 의미 있고 강력한 주장을 찾고 있습니다.
의견을 제시 할 때, 학문적 전통을 따르는 것이 좋습니다. 여러분이 가지고있는 의견 에 대해 가능한 한 열심히 생각 하고 반대론을 찾으십시오. 그러나 아무리 노력해도 개발 시스템에서 바이러스 백신 및 관련 보안 조치를 선호하는 합리적인 주장을 찾을 수는 없습니다. 개발중인 안티 바이러스 (AV)에 대한 주장은 풍부합니다. AV를 켠 상태에서 1 분 …
10
문자를 허용하지 않고 암호 길이를 제한하는 유효한 이유가 있습니까?
암호가 허용되는 길이를 제한하거나 특정 문자를 허용하지 않는 사이트가 많이 있습니다. 비밀번호의 검색 공간을 넓히고 길게하고 싶기 때문에 제한적입니다. 또한 해싱이 아닐 수도 있다는 불편한 느낌을줍니다. 이 있습니까 좋은 하나가 상위 길이를 설정하거나 암호 문자를 제외한 이유는?
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.