Gostaria de saber se devo usar o protocolo CAS ou OAuth + algum provedor de autenticação para logon único. Cenário de exemplo: Um usuário tenta acessar um recurso protegido, mas não é autenticado. O aplicativo redireciona o usuário para o servidor SSO. Se estiver autenticado, o usuário receberá...
Fechado . Esta questão é baseada em opiniões . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela possa ser respondida com fatos e citações editando esta postagem . Fechado há 6 anos . Melhore...
Estou tentando entender o objetivo do SecureString do .NET. Do MSDN: Uma instância da classe System.String é imutável e, quando não é mais necessária, não pode ser agendada programaticamente para coleta de lixo; isto é, a instância é somente leitura depois de criada e não é possível prever quando...
Qual é o melhor para fazer a validação do lado do cliente ou do servidor? Na nossa situação, estamos usando jQuery e MVC. Dados JSON para passar entre nosso View e Controller. Muita validação que faço é validar dados à medida que os usuários os inserem. Por exemplo, eu uso o keypressevento...
Alguma idéia do que poderia ser a causa disso? Não foi possível localizar o namespace Spring NamespaceHandler para o esquema XML [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization...
Estou usando o Oracle para desenvolvimento. A senha de uma conta de autoinicialização que eu sempre uso para reconstruir meu banco de dados expirou. Como desativo a expiração de senha deste usuário (e de todos os outros usuários) permanentemente? Estou usando o Oracle 11g, que possui senhas que...
Cada página em um aplicativo MVC com o qual estou trabalhando define esses cabeçalhos HTTP nas respostas: X-Powered-By: ASP.NET X-AspNet-Version: 2.0.50727 X-AspNetMvc-Version: 2.0 Como evito que eles sejam exibidos?
Estou criando um aplicativo que armazena senhas, que o usuário pode recuperar e visualizar. As senhas são para um dispositivo de hardware, portanto, a verificação de hashes está fora de questão. O que eu preciso saber é: Como criptografar e descriptografar uma senha no PHP? Qual é o algoritmo...
No contexto das estruturas de segurança, geralmente ocorrem alguns termos assunto , usuário e principal , dos quais não consegui encontrar uma definição clara e a diferença entre eles. Então, o que exatamente esses termos significam e por que essas distinções de sujeito e principal são...
Como as instruções preparadas nos ajudam a impedir ataques de injeção de SQL ? A Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser escapados...
É improvável que esta pergunta ajude futuros visitantes; é relevante apenas para uma pequena área geográfica, um momento específico ou uma situação extraordinariamente estreita que geralmente não é aplicável ao público mundial da Internet. Para obter ajuda para tornar esta questão...
Nos meus controladores, quando preciso do usuário ativo (conectado), faço o seguinte para obter minha UserDetailsimplementação: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Funciona bem, mas eu acho que...
Quão mais seguro é esse do que o MD5 comum ? Acabei de começar a investigar a segurança da senha. Eu sou muito novo em PHP. $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username =
Pesquisei bastante e também li os documentos do PHP $ _SERVER . Eu tenho esse direito sobre o que usar nos meus scripts PHP para definições simples de link usadas em todo o meu site? $_SERVER['SERVER_NAME'] é baseado no arquivo de configuração do servidor da web (Apache2 no meu caso) e varia de...
Se você quiser números aleatórios criptograficamente fortes em Java, use SecureRandom. Infelizmente, SecureRandompode ser muito lento. Se ele usa /dev/randomno Linux, pode bloquear a espera de entropia suficiente para se acumular. Como você evita a penalidade de desempenho? Alguém já usou Uncommon...
Eu tenho um aplicativo Web (hospedado no IIS) que fala com um serviço do Windows. O serviço do Windows está usando a API da Web do ASP.Net MVC (auto-hospedado) e, portanto, pode ser comunicado através de http usando JSON. O aplicativo da web está configurado para fazer representação, com a idéia de...
Eu sei que é possível obter um HTTP_REFERER vazio. Sob que circunstâncias isso acontece? Se eu receber um vazio, isso sempre significa que o usuário o alterou? Obter um vazio é o mesmo que obter um nulo? e em que circunstâncias eu também entendo
Entendo que impor um comprimento mínimo às senhas faz muito sentido (para salvar os usuários deles mesmos), mas meu banco exige que as senhas tenham entre 6 e 8 caracteres e comecei a me perguntar ... Isso não facilitaria apenas os ataques de força bruta? (Ruim) Isso significa que minha senha...
Recentemente, experimentei o Docker na criação de alguns serviços para brincar e uma coisa que me incomoda é colocar senhas em um arquivo Docker. Como sou desenvolvedor, o armazenamento de senhas na fonte parece um soco na cara. Isso deveria ser uma preocupação? Existem boas convenções sobre como...
Gostaria de saber se o Password Hasher, que é o padrão implementado no UserManager que acompanha o MVC 5 e o ASP.NET Identity Framework, é seguro o suficiente? E se sim, se você pudesse me explicar como isso funciona? A interface IPasswordHasher tem esta aparência: public interface...