As senhas não devem ser armazenadas em texto sem formatação por razões óbvias de segurança: você precisa armazenar hashes e também gerar o hash com cuidado para evitar ataques à tabela do arco-íris. No entanto, geralmente você tem o requisito de armazenar as últimas n senhas e impor complexidade...
Ouvi pessoas palestrando aqui e ali na internet que é uma boa prática ocultar os IDs de bancos de dados voltados para o público em aplicativos da web. Suponho que eles significam principalmente em formas e em urls, mas nunca li nada além de um bocado sobre o assunto. EDIT : Claro, agora que...
Digamos que eu queira que algumas partes do meu software sejam criptografadas. Por exemplo, as credenciais de um banco de dados etc. Eu preciso armazenar esses valores em algum lugar, mas fazer isso em texto não criptografado tornaria mais fácil para um invasor obter acesso não autorizado. No...
Atualmente, essa questão não se encaixa no nosso formato de perguntas e respostas. Esperamos que as respostas sejam apoiadas por fatos, referências ou conhecimentos, mas essa pergunta provavelmente solicitará debates, argumentos, pesquisas ou discussões prolongadas. Se você acha que...
Como um projeto de código aberto com um repositório público pode lidar melhor com solicitações pull (PRs) que abordam vulnerabilidades de segurança relatadas com segurança, mas ainda não divulgadas publicamente? Estou envolvido em um projeto de código aberto com várias centenas de colaboradores....
A injeção de SQL é um problema de segurança muito sério, em grande parte porque é muito fácil cometer erros: a maneira óbvia e intuitiva de criar uma consulta incorporando a entrada do usuário deixa você vulnerável, e a maneira certa de atenuá-lo exige que você conheça os parâmetros consultas e...
Esta pergunta foi migrada do Stack Overflow porque pode ser respondida no Software Engineering Stack Exchange. Migrou há 7 anos . Quais aspectos devo considerar ao projetar e publicar software que deve atender às restrições de exportação dos EUA para software
Eu li em várias fontes que a saída do rand () do PHP é previsível como PRNG, e eu geralmente aceito isso como fato simplesmente porque eu a vi em muitos lugares. Estou interessado em uma prova de conceito: como eu previa a saída de rand ()? Ao ler este artigo , entendo que o número aleatório é um...
Se eu criar um login para um aplicativo que tenha riscos de segurança médios a baixos (em outras palavras, não é um aplicativo bancário ou algo assim), é aceitável verificar uma senha inserida pelo usuário dizendo apenas algo como: if(enteredPassword == verifiedPassword)
Estou tendo um desacordo com alguém (um cliente) sobre o processo de identificação / autenticação de usuário de um sistema. O ponto principal é que eles querem que cada usuário tenha uma senha globalmente exclusiva (ou seja, dois usuários não podem ter a mesma senha). Eu expus todos os argumentos...
Depois de ler essa pergunta interessante, senti que tinha uma boa idéia de qual algoritmo de hash inseguro usaria se precisasse de um, mas não faço ideia do porquê de usar um algoritmo seguro. Então, qual é a distinção? A saída não é apenas um número aleatório representando a coisa com hash? O que...
É difícil dizer o que está sendo pedido aqui. Essa pergunta é ambígua, vaga, incompleta, excessivamente ampla ou retórica e não pode ser razoavelmente respondida em sua forma atual. Para obter ajuda para esclarecer esta questão para que possa ser reaberta, visite o centro de ajuda...
Estou usando tokens JWT em cabeçalhos HTTP para autenticar solicitações para um servidor de recursos. O servidor de recursos e o servidor de autenticação são duas funções de trabalho separadas no Azure. Não consigo decidir se devo armazenar as reivindicações no token ou anexá-las à solicitação /...
Li esta resposta e encontrei um comentário insistindo para não enviar a senha por email: senhas não devem ser recuperadas por e-mail, eu odeio isso. Isso significa que minha senha é armazenada em texto simples em algum lugar. deve ser redefinido apenas. Isso me levanta a questão de lidar com a...
Recentemente, usei um serviço do governo do qual eu tinha conta há anos atrás. Como não me lembrava da minha senha do serviço, usei o link "esqueci a senha" e fiquei surpreso ao ver que este site do governo enviou minha senha ao meu endereço de email em texto sem formatação. Estou pessoalmente...
Estou criando um programa interpretado bastante complexo em Python. Estou trabalhando na maior parte desse código para outros fins há alguns meses e, portanto, não quero que meu cliente simplesmente copie e tente vendê-lo, pois acho que vale uma quantia justa. O problema é que preciso que o script...
Parece menos comum em sites mais novos, mas muitos sites em que preciso de uma conta (como para pagar contas etc.) me impedem de criar uma senha com espaços. Isso só torna as coisas mais difíceis de lembrar , e eu não conheço nenhuma restrição de banco de dados ou programação sobre espaços em...
Acabei de ler este artigo, que tem alguns anos, mas descreve uma maneira inteligente de proteger suas APIs REST. Essencialmente: Cada cliente possui um par de chaves pública / privada exclusivo Somente o cliente e o servidor conhecem a chave privada; nunca é enviado por fio Com cada solicitação,...
Sou desenvolvedor Java há muito tempo e, finalmente, depois de me formar, tenho tempo para estudá-lo decentemente para fazer o exame de certificação ... Uma coisa que sempre me incomodou é que String é "final". Eu entendo isso quando leio sobre problemas de segurança e coisas relacionadas ... Mas,...
Fechado . Esta questão precisa ser mais focada . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela se concentre apenas em um problema editando esta postagem . Fechado há 5 anos . Por isso, trabalhei...