«security» 태그된 질문

시스템의 사용자 식별 / 인증 프로세스에 대해 누군가 (클라이언트)와 의견이 맞지 않습니다. 이것의 핵심은 각 사용자가 전역 적으로 고유 한 암호를 갖기를 원한다는 것입니다 (즉, 두 명의 사용자가 동일한 암호를 가질 수는 없음). 나는 이것에 대한 모든 명백한 주장을 제기했습니다 (보안 취약성, 인증과 식별을 혼동하고, 무의미한 것 등). 그러나 그들은이 …

20 security  passwords 

보안 위험이 중간 이하인 앱 (즉, 뱅킹 앱이 아닌 다른 앱)에 대한 로그인을 만들면 다음과 같이 말함으로써 사용자가 입력 한 비밀번호를 확인할 수 있습니다. if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); 효과가있는 것처럼 보이지만 그것이 필요한 전부라면 확실하지 않습니다. 사용자 이름 / 암호 콤보를 간단하게 검사하면 충분합니까? 업데이트 : 특정 프로젝트는 …

20 security  passwords  validation 

이 흥미로운 질문을 읽은 후 , 내가 필요하다면 어떤 안전하지 않은 해싱 알고리즘을 사용해야하는지에 대한 좋은 생각이 들었지만, 대신 안전한 알고리즘을 사용해야하는 이유는 모르겠습니다. 그렇다면 차이점은 무엇입니까? 출력은 해시 된 것을 나타내는 임의의 숫자가 아닙니까? 해싱 알고리즘을 안전하게 만드는 이유는 무엇입니까?

19 security  hashing 

여기에 무엇이 요청되는지 말하기가 어렵습니다. 이 질문은 모호하거나 모호하거나 불완전하거나 지나치게 광범위하거나 수사적이며 현재 형태로 합리적으로 대답 할 수 없습니다. 다시 열 수 있도록이 질문을 명확하게 설명 하려면 도움말 센터를 방문하십시오 . 휴일 칠년 전에 . 나는 종종 ELSE구문 을 사용하여 발생한 버그를 발견했습니다 . 대표적인 예는 다음과 같습니다. If …

18 self-improvement  programming-practices  security 

HTTP 헤더에서 JWT 토큰을 사용하여 리소스 서버에 대한 요청을 인증하고 있습니다. 리소스 서버와 인증 서버는 Azure에서 별도의 두 작업자 역할입니다. 클레임을 토큰에 저장해야하는지 또는 다른 방법으로 요청 / 응답에 첨부해야하는지에 대해 마음을 정할 수 없습니다. 클레임 목록은 서버의 데이터에 대한 액세스뿐만 아니라 클라이언트 측 UI 요소의 렌더링에도 영향을줍니다. 이러한 이유로 …

18 security  http  authentication  authorization 

이 답변을 읽고 이메일로 비밀번호를 보내지 말 것을 요구하는 의견을 찾았습니다. 이메일로 비밀번호를 검색 할 수 없어야합니다. 내 비밀번호가 일반 텍스트로 저장되어 있음을 의미합니다. 재설정 만해야합니다. 비밀번호 찾기 옵션을 처리해야합니까? 어떤 비용을 지불하더라도 사용자가 암호를 읽을 수 있도록 원시 암호를 UI에 표시해야합니다. "비밀번호 분실"을 처리하는 방법은 무엇입니까?

18 programming-practices  security  email  passwords 

나는 최근 몇 년 전부터 계정을 가지고있는 정부 서비스를 사용했습니다. 서비스 비밀번호를 잊어 버렸기 때문에 "비밀번호를 잊어 버렸습니다"링크를 사용하여이 정부 웹 사이트에서 내 비밀번호를 일반 텍스트로 내 이메일 주소로 보냈 음을 알게되었습니다. 본인은 사용자 비밀번호를 처리하는 방법을 개인적으로 알고 있으며 피드백 양식을 통해 내 우려 사항에 대한 의견을 보냈습니다 (정부 …

17 security  standards  passwords 

내가 일했던 회사의 경우, 일부 특수 센서 하드웨어에서 로컬 연결을 통해 UDP 형식으로 데이터를 가져 오는 소켓 수신기를 구현해야했습니다. 문제의 데이터는 올바른 형식의 UDP 패킷이지만 흥미롭게도 데이터 페이로드는 항상 나머지 데이터를 사용하여 형성된 CRC16 체크섬으로 끝났습니다. 나는 사양에 따라 내 말에 체크를 구현했지만 이것이 필요한지 항상 궁금했다. 결국, UDP 프로토콜 …

16 security  networking  data-integrity 

방금 몇 년 된 이 기사 를 읽었 지만 REST API를 보호하는 영리한 방법을 설명합니다. 본질적으로 : 각 클라이언트에는 고유 한 공개 / 개인 키 쌍이 있습니다 클라이언트와 서버 만이 개인 키를 알고 있습니다. 그것은 와이어를 통해 전송되지 않습니다 각 요청마다 클라이언트는 여러 입력 (전체 요청 자체, 현재 타임 스탬프 …

16 security  rest  authentication  keys  hmac 

새로운 웹 사이트에서는 일반적이지 않지만 계정을 필요로하는 많은 웹 사이트 (예 : 청구서 지불 등)에 공백이있는 암호를 만들 수 없습니다. 이로 인해 기억하기가 더 어려워 지며 암호 공간, 암호화 또는 (허용되지 않은) 공간에 대한 데이터베이스 또는 프로그래밍 제한이 없습니다. 그러면 스페이스 바가 사이트에 가입 할 때 일반적으로 차별되는 이유는 무엇입니까?

16 security  login  privacy 

저는 오랜 자바 개발자이며 마지막으로 전공 후 인증 시험을보기 위해 괜찮은 수준으로 공부할 시간이 있습니다 ... 항상 저를 괴롭힌 한 가지는 문자열이 "최종"입니다. 보안 문제와 관련 내용을 읽을 때 이해합니다 ... 그러나 진지하게 누구든지 그에 대한 진정한 예가 있습니까? 예를 들어 String이 최종이 아닌 경우 어떻게됩니까? 루비에없는 것처럼. Ruby 커뮤니티에서 …

16 java  security 

휴무 . 이 질문은 더 집중되어야 합니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 한 가지 문제에만 집중할 수 있도록 질문을 업데이트하십시오 . 휴일 오년 전에 . 그래서 저는 다양한 직장에서 개발자로 일했고 데이터베이스에 대한 액세스 수준이 다양했습니다. 일반적으로 프로덕션 DB 액세스 권한이 없습니다. 대부분 …

16 database  security  access 

인터넷 인프라를 구성하는 많은 기본 네트워크 프로토콜이 대부분의 주요 운영 체제에 내장되어 있습니다. 예를 들어 TCP, UDP 및 DNS는 모두 Linux, UNIX 및 Windows에 내장되어 있으며 저수준 시스템 API를 통해 프로그래머가 사용할 수 있습니다. 그러나 SSL 또는 TLS와 관련하여 OpenSSL 또는 Mozilla NSS와 같은 타사 라이브러리를 사용해야합니다. SSL은 비교적 오래된 …

16 security  operating-systems  protocol  ssl 

폐쇄되었습니다 . 이 질문은 의견 기반 입니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 신뢰할 수있는 웹 사이트에서는 항상 "모든 데이터가 암호화 됨"또는 "모든 암호가 128 비트 암호화를 사용하여 암호화됩니다"등과 같은 …

15 security  ethics  encryption  passwords  hashing 

"암호를 잘못 저장하는 방법"에 대한 많은 글을 읽었습니다 . 이들은 항상 사용자가 로깅하는 서버에 비밀번호를 저장하는 것을 말합니다. 그들은 기본적으로 재탕 등 등 그러나, 나는이에 암호를 저장하기위한 모범 사례에 관한 기사를 본 적이 있는지 소금에 암호를, 메이크업 등의 유비쿼터스 조언을 (말장난 의도) 클라이언트 는 클라이언트가 로그인 할 필요가 없습니다 그래서 …

15 security  login