Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas. Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do Software Engineering Stack Exchange. Fechado há 4 anos . O malware usa técnicas...
Esta é a política de senha que recebi da UPS (apenas para verificação do status do pacote): Sua senha deve ter entre 8 e 26 caracteres. Ele deve conter pelo menos três dos seguintes tipos de caracteres: letras minúsculas, maiúsculas, numerais, caracteres especiais ou espaços. A senha pode não...
Estou desenvolvendo um aplicativo da Web com um forte foco em segurança. Que medidas podem ser tomadas para impedir que aqueles que trabalham no aplicativo (programadores, DBAs, equipe de garantia de qualidade) capturem valores inseridos pelo usuário que devem ser bem protegidos, como senhas,...
Eu tenho lido alguma literatura sobre segurança, especificamente segurança / criptografia de senha, e há uma coisa que eu estou me perguntando: a regra dos 3 ataques é uma solução perfeita para a segurança de senhas? Ou seja, se o número de tentativas de senha for limitado a um número pequeno, após...
Eu tenho lido muito sobre o OAuth2 tentando entender, mas ainda estou confuso sobre alguma coisa. Entendo que o cliente autoriza com o provedor OAuth (Google, por exemplo) e permite que o Resource Server tenha acesso aos dados do perfil do usuário. Em seguida, o cliente pode enviar o token de...
Na minha universidade local, há um pequeno clube de computação para estudantes com cerca de 20 alunos. O clube possui várias equipes pequenas com áreas de foco específicas, como desenvolvimento móvel, robótica, desenvolvimento de jogos e hackers / segurança. Estou introduzindo alguns conceitos...
Freqüentemente, o que é exibido para um usuário (por exemplo, em uma página da web) se baseia parcialmente em verificações de segurança. Normalmente, considero a segurança no nível do usuário / ACL parte da lógica de negócios de um sistema. Se uma exibição verifica explicitamente a segurança para...
Eu herdei alguns projetos nos quais os segredos estavam no controle de origem no App.config e em arquivos semelhantes. Felizmente, não é um repositório público, então o risco não é tão sério quanto poderia ter sido. Estou procurando maneiras melhores de gerenciar isso, como o Azure KeyVault. (Mas...
O atual RFC do Websocket exige que os clientes do Websocket mascarem todos os dados nos quadros ao enviar (mas o servidor não é necessário). A razão pela qual o protocolo foi projetado dessa maneira é impedir que os dados do quadro sejam alterados por serviços maliciosos entre o cliente e o...
Eu tenho que criar um "widget", um script que os parceiros incorporarão em seus sites para exibir alguma interface do usuário e fazer chamadas para nossa API. Basicamente, ele exibirá nossos dados nesses sites com base em alguns códigos que eles fornecem em nossas chamadas de API. O que...
Em que circunstâncias um consultor de TI deve criptografar seu disco rígido para proteger seus códigos / dados de seus clientes? Estou pensando que, se isso não adicionar muito à sua carga de trabalho, você também poderá usar a criptografia completa do disco com uma senha 'fraca' para impedir pelo...
Quando você está codificando, você pensa ativamente que seu código pode ser explorado de maneiras que ele não deveria originalmente e, assim, obter acesso a informações protegidas, executar comandos ou algo que você não gostaria que seus usuários
As informações sobre as permissões e funções do cliente devem ser incluídas no JWT? Ter essas informações no token JWT será muito útil, pois sempre que um token válido chega, seria mais fácil extrair as informações sobre a permissão do usuário e não será necessário chamar o banco de dados para o...
Preciso implementar flexível E simples (se existir) e, ao mesmo tempo, utilizar meios embutidos, se possível Até agora, tenho MembershipProvider e RoleProviders implementados. Isso é legal, mas para onde eu vou a seguir? Eu sinto que preciso adicionar o termo "Priviledge" e codificar os que estão...
O Exchange 2010 tem um modelo de delegação em que grupos de cmdlets winrm são essencialmente agrupados em funções e as atribuídas a um usuário. ( Fonte da imagem ) Este é um modelo excelente e flexível, considerando como eu posso aproveitar todos os benefícios do PowerShell, enquanto uso as...
Para começar com o segundo plano, este post é o que Jeff Atwood diz sobre os tokens de CSRF. Nesta mesma página, ele continua dizendo: Um método de prevenção ainda mais forte, embora mais complexo, é alavancar o estado do servidor - gerar (e rastrear, com tempo limite) uma chave aleatória...
Preciso criar um banco de dados que contenha informações sobre doenças pessoais dos usuários. Qual pode ser a abordagem para implementar as colunas das tabelas do banco de dados: criptografar as informações, separar dados dentro de dois bancos de dados diferentes, um para dados confidenciais e...
Estou no processo de design de um aplicativo Web Java que provavelmente acabarei implantando no Google App Engine (GAE). O bom do GAE é que eu realmente não preciso me preocupar em fortalecer meu aplicativo contra o terrível ataque DDoS - apenas especifique um "teto de cobrança" e, se meu tráfego...
Eu criei um frasco selado, mas não vejo diferença em comparação com o uso de um não selado. Quais testes posso executar para verificar se o frasco está lacrado? Que razão poderíamos ter para preferir usar um lacrado em vez de não um? Um lacrado criará algum problema para os usuários dos meus...
Uma pessoa aleatória na internet me disse que uma tecnologia era segura (1), segura de usar e não continha keyloggers por ser de código aberto. Embora eu possa detectar trivialmente o registrador de pressionamentos de teclas nesse aplicativo de código-fonte aberto , o que os desenvolvedores (2)...