Ich möchte eine generische Methode zum Verwalten von 5xx-Fehlercodes verwenden. Sagen wir speziell den Fall, dass die Datenbank in meiner gesamten Frühjahrsanwendung nicht verfügbar ist. Ich möchte einen hübschen Fehler json anstelle eines Stack-Trace. Für die Controller habe ich eine...
Ich schreibe ein Shell-Skript, das etwas sicher sein sollte, dh keine sicheren Daten über Parameter von Befehlen weiterleitet und vorzugsweise keine temporären Dateien verwendet. Wie kann ich eine Variable an den Standard eines Befehls übergeben? Oder, wenn es nicht möglich ist, wie man temporäre...
Bei dieser Frage geht es nur um den Schutz vor Cross Site Request Forgery-Angriffen. Es geht speziell um: Ist der Schutz über den Origin-Header (CORS) so gut wie der Schutz über ein CSRF-Token? Beispiel: Alice ist mit ihrem Browser unter Verwendung eines Cookies unter " https://example.com "...
Ich versuche, Einmalkennwörter zu verwenden, die mit der Google Authenticator-Anwendung generiert werden können . Was macht Google Authenticator? Grundsätzlich implementiert Google Authenticator zwei Arten von Kennwörtern: HOTP - HMAC-basiertes Einmalpasswort, dh das Passwort wird bei jedem Anruf...
In einem Buch, das ich lese, steht, dass printfmit einem einzigen Argument (ohne Konvertierungsspezifizierer) veraltet ist. Es wird empfohlen, zu ersetzen printf("Hello World!"); mit puts("Hello World!"); oder printf("%s", "Hello World!"); Kann mir jemand sagen warum printf("Hello World!");das...
Im benutzerdefinierten AuthenticationProvider aus meinem Frühjahrsprojekt versuche ich, die Liste der Berechtigungen des angemeldeten Benutzers zu lesen, aber es tritt der folgende Fehler auf: org.hibernate.LazyInitializationException: failed to lazily initialize a collection of role:...
Ich habe einige Nachforschungen zum Umgang mit PHP-Sitzungen angestellt und bin auf den session.gc_maxlifetimeWert von 1440 Sekunden gestoßen. Ich habe mich gefragt, warum der Standardwert 1440 ist und wie er berechnet wird. Was ist die Basis für diese Berechnung? Wie lange ist es sinnvoll,...
Ich arbeite daran, eine RESTful-API für eine der von mir verwalteten Anwendungen zu erstellen. Wir versuchen derzeit, verschiedene Dinge einzubauen, die einen kontrollierten Zugang und mehr Sicherheit erfordern. Während ich nachforschte, wie die API gesichert werden kann, fand ich einige...
Mir ist klar, dass die OAuth- Spezifikation nichts über die Herkunft des ConsumerKey-, ConsumerSecret-, AccessToken-, RequestToken-, TokenSecret- oder Verifier-Codes angibt, aber ich bin gespannt, ob es bewährte Methoden zum Erstellen signifikant sicherer Token gibt (insbesondere Token / Geheime...
Je mehr ich über die Kraft von gelernt habe java.lang.reflect.AccessibleObject.setAccessible, desto mehr staune ich darüber, was sie bewirken kann. Dies wird aus meiner Antwort auf die Frage ( Verwenden von Reflection zum Ändern der statischen endgültigen File.separatorChar für Unit-Tests )...
Könnte jemand erklären, wann zu überschreiben ist configure(HttpSecurity), configure(WebSecurity)und
Bei der Arbeit haben wir zwei konkurrierende Theorien für Salze. Die Produkte, an denen ich arbeite, verwenden so etwas wie einen Benutzernamen oder eine Telefonnummer, um den Hash zu salzen. Im Wesentlichen etwas, das für jeden Benutzer anders ist, aber für uns leicht verfügbar ist. Das andere...
Ich erstelle eine Webanwendung mit Spring Security, die auf Amazon EC2 läuft und die Elastic Load Balancers von Amazon verwendet. Leider unterstützt ELB keine Sticky-Sitzungen, daher muss ich sicherstellen, dass meine Anwendung ohne Sitzungen ordnungsgemäß funktioniert. Bisher habe ich...
Ich habe eine ASP.NET 4.0 IIS7.5-Site, die ich mit dem X-Frame-Options-Header sichern muss. Ich muss auch aktivieren, dass meine Seiten von meiner Domain sowie von meiner Facebook-App aus iframed werden. Derzeit habe ich meine Site mit einer Site mit der Überschrift
Ich sehe, dass diese beiden Begriffe ziemlich häufig vorkommen (insbesondere in webbasierten Szenarien, aber ich nehme an, dass sie nicht darauf beschränkt sind), und ich habe mich gefragt, ob es einen Unterschied gibt oder nicht. Es scheint mir, dass beide bedeuten, dass Sie tun dürfen, was Sie...
Jede Variable, die ein Benutzer steuern kann, kann auch ein Angreifer steuern und ist daher eine Angriffsquelle. Dies wird als "verdorbene" Variable bezeichnet und ist unsicher. Bei der Verwendung $_SERVERkönnen viele der Variablen gesteuert werden. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR,...
Ich habe einen BloomFilter in Python 3.3 implementiert und in jeder Sitzung unterschiedliche Ergebnisse erzielt. Durch Drilldown dieses seltsamen Verhaltens gelangte ich zur internen Funktion hash () - sie gibt in jeder Sitzung unterschiedliche Hashwerte für dieselbe Zeichenfolge zurück. Beispiel:...
Um die Google Drive API zu verwenden, muss ich mit der Authentifizierung mit OAuth2.0 spielen. Und ich habe ein paar Fragen dazu. Client-ID und Client-Geheimnis werden verwendet, um zu identifizieren, was meine App ist. Sie müssen jedoch fest codiert sein, wenn es sich um eine Clientanwendung...
Ich benutze Spring MVCs @ControllerAdviceund @ExceptionHandlerum alle Ausnahmen einer REST-API zu behandeln. Es funktioniert gut für Ausnahmen, die von Web-MVC-Controllern ausgelöst werden, aber nicht für Ausnahmen, die von benutzerdefinierten Spring Security-Filtern ausgelöst werden, da sie...
Gelegentlich laufe ich in Kommentaren oder Antworten dieser Zustand mit Nachdruck , dass läuft pipunter sudoist „falsch“ oder „schlecht“, aber es gibt Fälle (einschließlich der Art , wie ich eine Reihe von Tools eingerichtet haben) , wo es entweder viel einfacher ist , oder sogar notwendig, Führen...