Para perguntas relacionadas à criptografia e segurança de TI. Pode ser segurança de computador, rede ou banco de dados.
Quero expor um recurso na web. Quero proteger esse recurso: garantir que ele seja acessível apenas a certos indivíduos. Eu poderia configurar algum tipo de autenticação baseada em senha . Por exemplo, eu só podia permitir o acesso ao recurso por meio de um servidor Web que verifica as solicitações...
Conheço algumas pessoas que estão atualmente trabalhando em um projeto para as forças armadas dos EUA (baixo nível de segurança, dados do tipo recursos humanos que não são de combate). Um estado inicial do código do projeto foi submetido aos militares para revisão e eles executaram o programa...
Fui contratado por alguém para fazer um pequeno trabalho em um site. É um site para uma grande empresa. Ele contém dados muito sensíveis, portanto a segurança é muito importante. Ao analisar o código, notei que ele é preenchido com brechas de segurança - leia, muitos arquivos PHP lançam entradas de...
Ainda estou tentando encontrar a melhor solução de segurança para proteger a API REST, porque a quantidade de aplicativos móveis e API está aumentando a cada dia. Tentei diferentes formas de autenticação, mas ainda tenho alguns mal-entendidos, por isso preciso de conselhos de alguém mais...
Como garantir que minha API REST responda apenas a solicitações geradas por clientes confiáveis, no meu caso, meus próprios aplicativos móveis? Quero impedir que solicitações indesejadas venham de outras fontes. Não quero que os usuários preencham uma chave serial ou o que seja, isso deve acontecer...
Eu tenho um formulário de e-mail do site. Eu uso um CAPTCHA personalizado para evitar spam de robôs. Apesar disso, ainda recebo spam. Por quê? Como os robôs vencem o CAPTCHA? Eles usam algum tipo de OCR avançado ou simplesmente obtêm a solução de onde estão armazenados? Como posso evitar isso?...
Por que parece tão fácil piratear hoje? Parece um pouco difícil de acreditar que, com todos os nossos avanços tecnológicos e os bilhões de dólares gastos em engenharia do software mais inacreditável e impressionante, ainda não temos outros meios de proteção contra a pirataria além de um "número de...
Possível duplicação: Gravando aplicativos da Web "sem servidor" Então, digamos que eu vou construir um clone do Stack Exchange e decido usar algo como o CouchDB como minha loja de back-end. Se eu usar a autenticação interna e a autorização no nível do banco de dados, existe algum motivo...
Eu tenho um aplicativo corporativo em execução que usa armazenamentos de dados MySQL e MongoDB . Minha equipe de desenvolvimento tem acesso SSH à máquina para executar lançamentos, manutenção de aplicativos etc. Recentemente, aumentei o risco nos negócios, quando os usuários começaram a armazenar...
Do meu ponto de vista, os ataques de injeção de SQL podem ser evitados por: Triagem cuidadosa, filtragem, entrada de codificação (antes da inserção no SQL) Usando instruções preparadas / consultas parametrizadas Suponho que existem prós e contras para cada um, mas por que o nº 2 decolou e se...
Na minha educação, fui informado de que é uma idéia falha expor as chaves primárias reais (não apenas as chaves do banco de dados, mas todos os acessadores primários) ao usuário. Eu sempre pensei que fosse um problema de segurança (porque um invasor poderia tentar ler coisas que não eram...
Existem muitos sites na Internet que exigem informações de login, e a única maneira de se proteger contra a reutilização de senhas é a "promessa" de que as senhas sejam colocadas em hash no servidor, o que nem sempre é verdade. Então, eu me pergunto, quão difícil é criar uma página da Web que faça...
Estou tentando entender a troca inerente entre funções e permissões quando se trata de controle de acesso (autorização). Vamos começar com um dado: em nosso sistema, uma Permissão será uma unidade de acesso refinada (" Editar recurso X ", " Acessar a página do painel " etc.). Uma função será uma...
Eu tenho um pouco de discussão no meu local de trabalho e estou tentando descobrir quem está certo e qual é a coisa certa a fazer. Contexto: um aplicativo da Web da intranet que nossos clientes usam para contabilidade e outros itens de ERP. Sou da opinião de que uma mensagem de erro apresentada...
Suponha que eu esteja revendo o código que os candidatos a emprego enviam para provar suas habilidades. Claramente, não quero executar executáveis que eles enviam. Não é tão claro que eu prefiro não executar o resultado da compilação do código (apenas, por exemplo, Java permite ocultar o código...
Ao formar opiniões, é uma boa prática seguir a tradição escolástica - pense o máximo que puder contra a opinião que você mantém e tente encontrar contra-argumentos. No entanto, por mais que eu tente, simplesmente não consigo encontrar argumentos razoáveis a favor de antivírus (e medidas de...
Encontrei alguns sites que limitam o tamanho que permitem que as senhas sejam e / ou não permitem certos caracteres. Isso me limita, pois quero ampliar e aumentar o espaço de pesquisa da minha senha. Também me dá uma sensação desconfortável de que eles podem não estar fazendo hash. Existem boas...
Comecei a registrar tentativas falhas de logon no meu site com uma mensagem como Failed login attempt by qntmfred Notei que alguns desses logs parecem Failed login attempt by qntmfredmypassword Acho que algumas pessoas tiveram um login com falha porque digitaram seu nome de usuário e sua senha...
Enquanto trabalhava em um projeto para minha empresa, eu precisava criar uma funcionalidade que permita aos usuários importar / exportar dados de / para o site do nosso concorrente. Enquanto isso, descobri uma exploração de segurança muito séria que poderia, em suma, executar qualquer script no...
Ainda vale a pena proteger nosso software contra a pirataria? Existem maneiras razoavelmente eficazes de prevenir ou pelo menos dificultar a