Génie logiciel security

1

Lors de la création du compte, est-il préférable de générer automatiquement le mot de passe et de l'envoyer à l'utilisateur, ou de laisser l'utilisateur créer son propre mot de passe?

Cette question a été posée aujourd'hui lors d'une discussion avec un collègue sur la page "créer un compte" du site Web sur lequel nous travaillons. L'opinion de mon collègue est que nous devrions rendre l'enregistrement aussi rapide et transparent que possible, donc nous devons simplement demander à l'utilisateur son e-mail …

11 security passwords

3

Comment les applications de bureau communiquaient-elles avec le serveur distant avant les services Web?

Je n'ai pas beaucoup d'expérience avec les applications de bureau, mais si je devais créer une application de bureau client-serveur, l'accès aux données se ferait via un service Web. Je crois que l'accès aux données via un service Web offre une sécurité - je n'ai pas besoin de transmettre le …

11 programming-practices security

3

Stockage sécurisé des données secrètes dans une application Web côté client

J'ai cette application web qui va être toute technologique côté client (HTML, CSS, JavaScript / AngularJS, etc ...). Cette application web va interagir avec l'API REST afin d'accéder et de modifier les données. À l'heure actuelle, il est indécis sur le type de système d'authentification que l'API REST va utiliser. …

11 web-development security

10

Les restrictions de sécurité doivent-elles entraîner la nullité d'un service ou lever une exception? [fermé]

Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message . Fermé il y a 4 ans . Je suis un peu en …

11 java security exceptions null

7

Quelles informations ne doivent jamais apparaître dans les journaux? [fermé]

Fermé . Cette question doit être plus ciblée . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle se concentre sur un problème uniquement en modifiant ce message . Fermé il y a 4 ans . Je suis sur le point d'écrire …

11 security information

5

Autoriser les utilisateurs administrateurs à se connecter en tant que d'autres utilisateurs

Pensez-vous que c'est une bonne pratique d'implémenter une possibilité pour permettre à un utilisateur administrateur de se connecter en tant qu'un autre utilisateur, en contournant le mot de passe? Cela pourrait être implémenté par un mot de passe principal ou une fonction au sein de l'administration des utilisateurs, "Connexion en …

11 security problem-solving

2

Le masquage est-il vraiment nécessaire lors de l'envoi depuis un client Websocket

La RFC Websocket actuelle exige que les clients Websocket masquent toutes les données dans les trames lors de l'envoi (mais le serveur n'est pas obligé de le faire). La raison pour laquelle le protocole a été conçu de cette façon est d'empêcher que les données de trame ne soient altérées …

10 security protocol websockets

7

Est-ce que l'utilisation de conditions de sécurité est une violation de MVC?

Souvent, ce qui est affiché à un utilisateur (par exemple sur une page Web) sera basé en partie sur des contrôles de sécurité. Je considère généralement que la sécurité au niveau utilisateur / ACL fait partie de la logique métier d'un système. Si une vue vérifie explicitement la sécurité pour …

10 web-development design-patterns security mvc

5

Quels sont les aspects uniques d'un logiciel Cycle de vie d'une attaque / d'un outil sur une vulnérabilité logicielle?

Dans mon université locale, il y a un petit club d'informatique étudiant d'environ 20 étudiants. Le club a plusieurs petites équipes avec des domaines de concentration spécifiques, tels que le développement mobile, la robotique, le développement de jeux et le piratage / la sécurité. J'introduis quelques concepts de développement agile …

10 development-process security hacking sdlc

3

Flux OAuth2 - le serveur valide-t-il avec le serveur Auth?

J'ai beaucoup lu sur OAuth2 en essayant de m'en sortir, mais je suis toujours confus à propos de quelque chose. Je comprends que le client autorise le fournisseur OAuth (Google par exemple) et autorise le serveur de ressources à accéder aux données de profil de l'utilisateur. Ensuite, le client peut …

10 security oauth2

2

Faiblesses de la sécurité en 3 temps

J'ai lu de la littérature sur la sécurité, en particulier la sécurité / le cryptage des mots de passe, et il y a une chose que je me demandais: la règle des 3 temps est-elle une solution parfaite à la sécurité des mots de passe? Autrement dit, si le nombre …

10 security

2

Comment puis-je empêcher les programmeurs de capturer les données entrées par les utilisateurs?

Je développe une application web avec un fort accent sur la sécurité. Quelles mesures peuvent être prises pour empêcher ceux qui travaillent sur l'application (programmeurs, administrateurs de base de données, personnel d'assurance qualité) de capturer des valeurs saisies par l'utilisateur qui devraient être bien protégées, telles que les mots de …

10 security

4

Les développeurs pourraient-ils apprendre quelque chose en étudiant les logiciels malveillants? [fermé]

Fermé. Cette question est hors sujet . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle soit sur le sujet pour Software Engineering Stack Exchange. Fermé il y a 4 ans . Les logiciels malveillants utilisent des techniques intéressantes pour se cacher …

10 learning security

3

Que font les programmeurs des entreprises de sécurité?

J'ai entendu parler de sociétés de sécurité qui consultent sur la sécurité des systèmes d'un client. Toutes les personnes que je connais dans ce domaine sont des ingénieurs réseau, mais je sais que les programmeurs sont également impliqués dans la sécurité. Que font réellement les programmeurs de sécurité qui effectuent …

10 security freelancing

2

Comment éviter l'utilisation non autorisée d'une API?

Je dois concevoir un "widget", un script que les partenaires intégreront dans leurs sites Web pour afficher une interface utilisateur et passer des appels à notre API. Fondamentalement, il affichera nos données sur ces sites en fonction de certains identifiants qu'ils fournissent dans nos appels API. Ce que nous aimerions …

10 security api-design web-api

Questions marquées «security»