Ich habe überall Artikel und Beiträge (einschließlich SO) zu diesem Thema gesehen, und der vorherrschende Kommentar lautet, dass die Richtlinie mit demselben Ursprung ein Formular POST über Domänen hinweg verhindert. Der einzige Ort, an dem ich jemanden gesehen habe, der vorschlägt, dass die...
Ich stieß auf eine Diskussion, in der ich erfuhr, dass das, was ich getan hatte, nicht darin bestand, Passwörter zu salzen, sondern sie zu peppen, und seitdem habe ich begonnen, beides mit einer Funktion wie: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ignoriert man...
Ich lade etwas HTML in einen Iframe, aber wenn eine Datei, auf die verwiesen wird, http und nicht https verwendet, wird der folgende Fehler angezeigt: [blockiert] Auf der Seite unter {aktueller_Pagename} wurde unsicherer Inhalt von {referenzierter_Dateiname} ausgeführt. Gibt es eine Möglichkeit,...
Wenn Sie den Mauszeiger über ein Google+ Plus-One-Widget halten, kann dies zu einem Tooltip-Deal führen, der deutlich größer ist als das <iframe>Element, in dem er enthalten ist. Ich habe das DOM überprüft, um dies zu bestätigen. * So: Was? Wie!? Ist dies nicht eine massive Gelegenheit für...
Ich versuche mehr über PHP Session Fixation & Hijacking zu verstehen und wie man diese Probleme verhindert. Ich habe die folgenden zwei Artikel auf der Website von Chris Shiflett gelesen: Sitzungsfixierung Sitzungsentführung Ich bin mir jedoch nicht sicher, ob ich die Dinge richtig verstehe. Um...
Geschlossen . Diese Frage muss fokussierter sein . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so, dass sie sich nur auf ein Problem konzentriert, indem Sie diesen Beitrag bearbeiten . Geschlossen...
Die aktuelle Top-Abstimmung zu dieser Frage lautet: Ein anderes Problem, das nicht so sehr ein Sicherheitsproblem darstellt, obwohl es sicherheitsrelevant ist, ist ein vollständiger und erbärmlicher Fehler, den Unterschied zwischen dem Hashing eines Kennworts und dem Verschlüsseln zu erkennen . Am...
Mein Unternehmen hat Spring MVC evaluiert, um festzustellen, ob wir es in einem unserer nächsten Projekte verwenden sollten. Bisher liebe ich das, was ich gesehen habe, und im Moment schaue ich mir das Spring Security-Modul an, um festzustellen, ob es etwas ist, das wir verwenden können /...
Mit der neuen Firebase-Cloud-Funktion habe ich beschlossen, einen Teil meines HTTP-Endpunkts auf Firebase zu verschieben. Alles funktioniert super ... Aber ich habe das folgende Problem. Ich habe zwei Endpunkte, die von HTTP-Triggern (Cloud-Funktionen) erstellt wurden. Ein API-Endpunkt zum...
Wir haben einige Build-Systeme in der Produktion, die niemanden interessieren, und auf diesen Maschinen werden alte Versionen von GCC wie GCC 3 oder GCC 2 ausgeführt. Und ich kann das Management nicht davon überzeugen, es auf ein neueres zu aktualisieren: Sie sagen: "Wenn es nicht kaputt ist,...
Mir ist klar, dass parametrisierte SQL-Abfragen die optimale Methode sind, um Benutzereingaben zu bereinigen, wenn Abfragen erstellt werden, die Benutzereingaben enthalten. Ich frage mich jedoch, was falsch daran ist, Benutzereingaben zu übernehmen und einfache Anführungszeichen zu umgehen und die...
Ich möchte meiner öffentlichen Webseite die Suchfunktion für reguläre Ausdrücke hinzufügen. Muss ich außer der HTML- Codierung der Ausgabe etwas tun, um mich vor böswilligen Benutzereingaben zu schützen? Google - Suchanfragen werden von Menschen überschwemmt die Lösung der Umkehrung problem--...
Wenn Sie das OAuth-Protokoll verwenden, benötigen Sie eine geheime Zeichenfolge, die Sie von dem Dienst erhalten, an den Sie delegieren möchten. Wenn Sie dies in einer Web-App tun, können Sie das Geheimnis einfach in Ihrer Datenbank oder im Dateisystem speichern. Wie können Sie es jedoch am besten...
Ich verwende das Symfony-Sicherheits-Setup. Alles funktioniert gut, aber ich weiß nicht, wie ich eine wichtige Sache machen soll: Im Zweig kann ich die Informationen des aktuellen Benutzers erreichen, indem ich Folgendes mache: Welcome, {{ app.user.username }} o.ä Wie greife ich im Controller...
Ich fange gerade an darüber nachzudenken, wie API-Schlüssel und geheime Schlüssel funktionieren. Vor 2 Tagen habe ich mich für Amazon S3 angemeldet und das S3Fox Plugin installiert . Sie fragten mich sowohl nach meinem Zugangsschlüssel als auch nach meinem geheimen Zugangsschlüssel. Für beide muss...
Mir ist klar, dass die Spring-Sicherheit auf einer Filterkette aufbaut, die die Anforderung abfängt, die Authentifizierung erkennt (nicht), zum Authentifizierungseintrittspunkt umleitet oder die Anforderung an den Autorisierungsdienst weiterleitet und die Anforderung schließlich entweder das...
Ich habe gehört, dass das Offenlegen von Datenbank-IDs (z. B. in URLs) ein Sicherheitsrisiko darstellt, aber ich habe Probleme zu verstehen, warum. Irgendwelche Meinungen oder Links darüber, warum es ein Risiko ist oder warum es nicht ist? BEARBEITEN: Natürlich ist der Zugriff begrenzt. Wenn Sie...
Geschlossen . Diese Frage basiert auf Meinungen . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage, damit sie durch Bearbeiten dieses Beitrags mit Fakten und Zitaten beantwortet werden kann . Geschlossen vor 6 Jahren . Verbessere diese...
Geschlossen. Diese Frage entspricht nicht den Richtlinien für Stapelüberlauf . Derzeit werden keine Antworten akzeptiert. Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so dass es beim Thema für Stack - Überlauf. Geschlossen vor 2 Jahren . Verbessere diese Frage Ich habe ein...
Ich bekomme keine Base64-Verschlüsselung. Wenn man eine Base64-Zeichenfolge entschlüsseln kann, wozu dient sie dann? Warum wird es für die HTTP Basic-Authentifizierung verwendet? Es ist, als würde man jemandem sagen, dass mein Passwort in OLLEH umgekehrt ist. Leute, die OLLEH sehen, werden wissen,...