Génie logiciel security

7

Les URL privées non identifiables sont-elles équivalentes à l'authentification par mot de passe?

Je veux exposer une ressource sur le Web. Je veux protéger cette ressource: m'assurer qu'elle n'est accessible qu'à certaines personnes. Je pourrais mettre en place une sorte d' authentification basée sur un mot de passe . Par exemple, je ne pouvais autoriser l'accès à la ressource que par l'intermédiaire d'un …

128 security authentication

7

Vous êtes embauché pour corriger un petit bogue pour un site exigeant de la sécurité. En regardant le code, il est rempli de failles de sécurité. Que faire? [fermé]

J'ai été embauché par quelqu'un pour effectuer de petits travaux sur un site. C'est un site pour une grande entreprise. Il contient des données très sensibles, la sécurité est donc très importante. Lors de l'analyse du code, j'ai remarqué qu'il était rempli de failles de sécurité: de nombreux fichiers PHP …

109 php security sql-injection

3

REST API security Jeton stocké vs JWT vs OAuth

J'essaie toujours de trouver la meilleure solution de sécurité pour protéger les API REST, car le nombre d'applications mobiles et d'API augmente chaque jour. J'ai essayé différentes méthodes d'authentification, mais il y a toujours des malentendus. J'ai donc besoin des conseils de quelqu'un de plus expérimenté. Laissez-moi vous dire comment …

104 security rest api oauth https

8

Comment sauvegarder une API REST pour les applications mobiles approuvées uniquement

Comment puis-je m'assurer que mon API REST ne répond qu'aux demandes générées par des clients approuvés, dans mon cas, mes propres applications mobiles? Je veux empêcher les demandes indésirables provenant d'autres sources. Je ne veux pas que les utilisateurs remplissent une clé de série ou quoi que ce soit, cela …

96 security rest mobile

7

Comment les robots peuvent-ils battre les CAPTCHAs?

J'ai un formulaire e-mail de site Web. J'utilise un CAPTCHA personnalisé pour empêcher le spam provenant de robots. Malgré cela, je reçois toujours du spam. Pourquoi? Comment les robots battent-ils le CAPTCHA? Utilisent-ils une sorte d'OCR avancé ou obtiennent-ils simplement la solution là où elle est stockée? Comment puis-je empêcher …

84 security captcha

17

Comment les logiciels peuvent-ils être protégés du piratage?

Pourquoi le piratage semble-t-il si facile aujourd'hui? Il semble un peu difficile de croire qu'avec toutes nos avancées technologiques et les milliards de dollars consacrés à la conception du logiciel le plus incroyable et époustouflant, nous ne disposions toujours d'aucun autre moyen de protection contre le piratage qu'un "numéro de …

77 security

15

Existe-t-il une raison pour ne pas passer directement du code Javascript côté client à une base de données?

Dupliquer possible: Écrire des applications Web «sans serveur» Donc, disons que je vais construire un clone Stack Exchange et que je décide d'utiliser quelque chose comme CouchDB comme magasin backend. Si j'utilise leur authentification intégrée et leur autorisation au niveau de la base de données, y a-t-il une raison de …

62 javascript architecture database security couchdb

14

Pourquoi le mécanisme de prévention d'injection SQL a-t-il évolué dans le sens de l'utilisation de requêtes paramétrées?

À mon avis, les attaques par injection SQL peuvent être évitées par: Filtrer, filtrer et encoder soigneusement les entrées (avant leur insertion dans SQL) Utilisation d' instructions préparées / requêtes paramétrées Je suppose qu'il y a des avantages et des inconvénients pour chacun, mais pourquoi le n ° 2 a-t-il …

59 security sql history hacking sql-injection

9

Pourquoi ne pas exposer une clé primaire

Au cours de ma formation, on m'a dit qu'il est impensable d'exposer les clés primaires réelles (non seulement les clés de base de données, mais tous les accesseurs principaux) à l'utilisateur. J'ai toujours pensé que c'était un problème de sécurité (car un attaquant pourrait essayer de lire des choses qui …

53 design security theory

8

Pourquoi presque aucun site Web ne hache les mots de passe du client avant de les soumettre (et de les hacher à nouveau sur le serveur), afin de «protéger» contre la réutilisation des mots de passe?

Il existe de nombreux sites sur Internet qui nécessitent des informations de connexion, et le seul moyen de se protéger contre la réutilisation des mots de passe est la "promesse" que les mots de passe sont hachés sur le serveur, ce qui n'est pas toujours vrai. Je me demande donc …

46 javascript security client-relations hashing client-side

7

Une trace de pile doit-elle figurer dans le message d'erreur présenté à l'utilisateur?

J'ai un peu de discussion sur mon lieu de travail et j'essaie de trouver qui a raison et quelle est la bonne chose à faire. Contexte: une application Web intranet que nos clients utilisent pour la comptabilité et d’autres progiciels de gestion intégrés. Je suis d'avis qu'un message d'erreur présenté …

45 security error-handling

2

Rôle vs contrôle d'accès basé sur les autorisations

J'essaie de comprendre le compromis inhérent entre les rôles et les autorisations en matière de contrôle d'accès (autorisation). Commençons par une donnée: dans notre système, une autorisation sera une unité d’accès fine (" Editer la ressource X ", " Accéder à la page du tableau de bord ", etc.). Un …

45 security permissions authorization access-control roles

13

Est-il prudent de compiler un morceau de code source à partir d'un inconnu au hasard? [fermé]

Supposons que je vérifie le code envoyé par les candidats pour prouver leurs compétences. Clairement, je ne veux pas exécuter les exécutables qu’ils envoient. Pas si clairement que je préfère ne pas exécuter le résultat de la compilation de leur code (par exemple, Java permet de masquer le code exécutable …

41 security source-code compiler vulnerabilities

9

A la recherche d'arguments solides et significatifs en faveur d'un logiciel antivirus sur les machines de développement [fermé]

Lorsqu’on se forge une opinion, c’est une bonne pratique de suivre la tradition scolaire - réfléchissez aussi fort que possible contre votre opinion et essayez de trouver des contre-arguments. Cependant, quels que soient mes efforts, je ne trouve pas les arguments raisonnables en faveur de l'antivirus (et des mesures de …

40 security hardware development-environment

10

Existe-t-il des raisons valables pour interdire les caractères et limiter la longueur des mots de passe?

J'ai rencontré pas mal de sites qui limitent la longueur des mots de passe et / ou interdisent l'utilisation de certains caractères. Cela me limite car je veux élargir et allonger l'espace de recherche de mon mot de passe. Cela me donne également le sentiment inconfortable qu’ils ne soient peut-être …

39 security passwords

Questions marquées «security»