«security» 태그된 질문

암호화 및 IT 보안과 관련된 질문 컴퓨터, 네트워크 또는 데이터베이스 보안 일 수 있습니다.

1
계정을 만드는 동안 암호를 자동으로 생성하여 사용자에게 보내거나 사용자가 자신의 암호를 만들도록하는 것이 더 낫습니까?
이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다. 동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다. 나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다. 우리는 암호를 생성하기 때문에, 우리 가 반드시 암호가 충분히 강한이 할 책임을 내 경험상 …
3
웹 서비스 이전에 데스크톱 응용 프로그램은 어떻게 원격 서버와 통신 했습니까?
데스크톱 응용 프로그램에 대한 경험이 많지 않지만 클라이언트 서버 데스크톱 응용 프로그램을 만들어야하는 경우 웹 서비스를 통해 데이터 액세스가 수행됩니다. 웹 서비스를 통한 데이터 액세스가 보안을 제공한다고 생각합니다 .DB 서버 사용자 이름과 암호 등을 전달할 필요가 없습니다. 웹 서비스 이전에 데이터베이스 응용 프로그램은 어떻게 했습니까? 모든 중요한 DB 정보가 데스크탑 …
3
클라이언트 측 웹 애플리케이션에 비밀 데이터를 안전하게 저장
모든 클라이언트 측 기술 (HTML, CSS, JavaScript / AngularJS 등)이 될 웹 응용 프로그램이 있습니다. 이 웹 애플리케이션은 데이터에 액세스하고 수정하기 위해 REST API와 상호 작용할 것입니다. 지금은 REST API가 사용할 인증 시스템 유형을 결정하지 않았습니다. 내 이해에서 모든 유형의 API 인증 시스템 (API 키, OAuth 1/2 등 ...)에는 비밀로 …
10
보안 제한으로 인해 서비스가 null을 반환하거나 예외를 throw해야합니까? [닫은]
폐쇄되었습니다 . 이 질문은 의견 기반 입니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 사실과 인용으로 답변 할 수 있도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 이 문제에 대해 더 숙련 된 개발자와 약간 의견이 다르며 다른 사람들이 이에 대해 어떻게 생각하는지 궁금합니다. …
7
어떤 정보가 로그에 나타나지 않아야합니까? [닫은]
폐쇄되었습니다 . 이 질문은 더 집중되어야 합니다. 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 한 가지 문제에만 집중할 수 있도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 로그에 표시되지 않아야하는 항목 (응용 프로그램 추적)에 대한 회사 지침을 작성하려고합니다. 실제로 일부 개발자는 가능한 한 많은 …
5
관리자가 다른 사용자로 로그인 할 수 있도록 허용
관리자가 암호를 우회하여 다른 사용자로 로그인 할 수 있도록하는 가능성을 구현하는 것이 좋은 방법이라고 생각하십니까? 이는 마스터 비밀번호 또는 사용자 관리 내부의 "이 사용자로 로그인"기능으로 구현할 수 있습니다. 예를 들어, 관리자는보고 된 문제를 재현하거나 보조금이 올바른지 확인할 수있는 기능을 요구하고 있습니다.
2
Websocket 클라이언트에서 전송할 때 마스킹이 정말로 필요합니까?
현재 Websocket RFC를 사용 하려면 웹 소켓 클라이언트 가 전송할 때 프레임 내의 모든 데이터를 마스크해야 하지만 서버는 필요하지 않습니다. 프로토콜이 이런 식으로 설계된 이유 는 클라이언트와 서버 사이의 악성 서비스 (프록시 등)에 의해 프레임 데이터가 변경되는 것을 방지하기 위함입니다. 그러나 마스킹 키는 여전히 이러한 서비스에 알려져 있습니다 (각 프레임 …
7
보안 조건을 사용하는 것이 MVC 위반입니까?
사용자에게 표시되는 내용 (예 : 웹 페이지)은 부분적으로 보안 검사를 기반으로합니다. 나는 보통 사용자 수준 / ACL 보안을 시스템의 비즈니스 로직의 일부로 생각합니다. 뷰가 UI 요소를 조건부로 표시하기 위해 보안을 명시 적으로 검사하는 경우 비즈니스 로직을 포함하여 MVC를 위반합니까?
5
소프트웨어의 고유 한 특징은 무엇입니까? 소프트웨어 취약점에 대한 공격 / 툴의 수명주기는?
내 지역 대학에는 약 20 명의 학생들로 구성된 소규모 학생 컴퓨팅 클럽이 있습니다. 이 클럽에는 모바일 개발, 로봇 공학, 게임 개발 및 해킹 / 보안과 같은 특정 분야의 소규모 팀이 있습니다. 사용자 스토리, 복잡한 작업 추정, 버전 제어 및 자동화 된 빌드 / 테스트를위한 지속적인 통합과 같은 몇 가지 기본 …
3
OAuth2 흐름-서버가 인증 서버로 유효성을 검사합니까?
나는 OAuth2에 대해 많은 것을 읽었으며 그 주위에 내 머리를 갖기 위해 노력하고 있지만 여전히 혼란 스럽습니다. 고객이 OAuth 제공 업체 (예 : Google)를 승인하고 리소스 서버가 사용자의 프로필 데이터에 액세스 할 수 있음을 이해합니다. 그러면 클라이언트는 액세스 토큰을 리소스 서버로 보내고 리소스를 다시받을 수 있습니다. 그러나 설명서에서 다루지 않은 …
10 security  oauth2 
2
3-Strike Security의 약점
보안, 특히 암호 보안 / 암호화에 대한 몇 가지 문헌을 읽었으며 궁금한 점이 있습니다. 3- 스트라이크 규칙이 암호 보안에 대한 완벽한 솔루션입니까? 즉, 비밀번호 시도 횟수가 일부로 제한되면 모든 인증 요청이 이행되지 않으면 사용자를 침입으로부터 보호하지 못합니까? 무언가에 대한 액세스 또는 제어 권한을 얻는 것이 항상 인증 시스템을 통과한다는 것을 …
10 security 
4
개발자가 맬웨어 연구를 통해 무엇을 배울 수 있습니까? [닫은]
닫은. 이 질문은 주제에 맞지 않습니다 . 현재 답변을받지 않습니다. 이 질문을 개선하고 싶습니까? Software Engineering Stack Exchange에 대한 주제가 되도록 질문을 업데이트하십시오 . 휴일 3 년 전 . 맬웨어는 맬웨어 방지 소프트웨어 등으로부터 자신을 숨기는 데 흥미로운 기술을 사용합니다. 그것들은 스스로 "다형성 (polymorph)"할 수 있습니다 : 실제로 코드를 변경하면서 …
3
보안 회사의 프로그래머는 무엇을합니까?
나는 클라이언트 시스템의 보안에 관해 상담하는 보안 회사에 대해 들었습니다. 이 분야에서 내가 아는 사람들은 모두 네트워크 엔지니어이지만 프로그래머도 보안에 관여한다는 것을 알고 있습니다. 감사 / 컨설팅을 수행하는 보안 프로그래머는 실제로 무엇을합니까? 그들은 문자 그대로 사람들의 레거시 시스템의 모든 취약점을 찾기 위해 코드베이스를 통과합니까? 나는 그것이 그들이 한 일이라고 항상 …
2
API의 무단 사용을 피하는 방법은 무엇입니까?
파트너가 UI를 표시하고 API를 호출하기 위해 웹 사이트에 포함 할 스크립트 인 "위젯"을 디자인해야합니다. 기본적으로 API 호출에서 제공하는 일부 ID를 기반으로 이러한 사이트에 데이터를 표시합니다. 우리가 피하고 싶은 것은 API를 남용하고이를 사용하여 카탈로그 전체를 긁어내는 것입니다. 스크립트를 포함하는 각 파트너에게는 API를 호출 할 때 제공해야하는 공개 키가 제공됩니다. 스크립트를로드 할 …
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.