Je crée une application Windows, à laquelle vous devez d'abord vous connecter. Les détails du compte se composent du nom d'utilisateur et du mot de passe, et ils doivent être enregistrés localement. C'est juste une question de sécurité, donc les autres personnes utilisant le même ordinateur ne...
J'écris un script shell qui devrait être un peu sécurisé, c'est-à-dire qui ne transmet pas de données sécurisées via les paramètres des commandes et n'utilise de préférence pas de fichiers temporaires. Comment puis-je passer une variable au stdin d'une commande? Ou, si ce n'est pas possible,...
J'essaie d'utiliser des mots de passe à usage unique qui peuvent être générés à l'aide de l' application Google Authenticator . Ce que fait Google Authenticator Fondamentalement, Google Authenticator implémente deux types de mots de passe: HOTP - Mot de passe à usage unique basé sur HMAC, ce qui...
Cette question concerne uniquement la protection contre les attaques de falsification de requêtes intersites. Il s'agit spécifiquement de: La protection via l'en-tête d'origine (CORS) est-elle aussi bonne que la protection via un jeton CSRF? Exemple: Alice est connectée (à l'aide d'un cookie) avec...
Dans un livre que je lis, il est écrit printfqu'avec un seul argument (sans spécificateurs de conversion) est obsolète. Il recommande de remplacer printf("Hello World!"); avec puts("Hello World!"); ou printf("%s", "Hello World!"); Quelqu'un peut-il me dire pourquoi printf("Hello World!");est faux?...
Je travaille sur la construction d'une API RESTful pour l'une des applications que je gère. Nous cherchons actuellement à y intégrer diverses choses qui nécessitent un accès et une sécurité plus contrôlés. En recherchant comment sécuriser l'API, j'ai trouvé quelques opinions différentes sur le...
J'ai fait des recherches sur la gestion de session PHP et suis tombé sur la session.gc_maxlifetimevaleur de 1440 secondes. Je me demande pourquoi la valeur standard est de 1440 et comment elle est calculée? Quelle est la base de ce calcul? Combien de temps est-il judicieux de garder les sessions?...
Quelqu'un pourrait-il expliquer quand passer outre configure(HttpSecurity), configure(WebSecurity)et
Je me rends compte que la spécification OAuth ne spécifie rien sur l'origine du code ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret ou Verifier, mais je suis curieux de savoir s'il existe des meilleures pratiques pour créer des jetons considérablement sécurisés (en particulier...
Plus j'en ai appris sur le pouvoir java.lang.reflect.AccessibleObject.setAccessible, plus je suis étonné de ce qu'il peut faire. Ceci est adapté de ma réponse à la question ( Utilisation de la réflexion pour changer le fichier final statique File.separatorChar pour les tests unitaires ). import...
Cette question a déjà des réponses ici : Où stocker JWT dans le navigateur? Comment se protéger contre le CSRF? (5 réponses) Fermé il y a 3 mois . Dans le but de sécuriser l'API REST à l'aide de JWT, selon certains documents (comme ce guide et cette question ), le JWT peut être stocké dans...
J'ai un site ASP.NET 4.0 IIS7.5 dont j'ai besoin sécurisé à l'aide de l'en-tête X-Frame-Options. Je dois également activer les pages de mon site pour être iframées à partir de mon même domaine ainsi que de mon application Facebook. Actuellement, mon site est configuré avec un site intitulé:...
Au travail, nous avons deux théories concurrentes pour les sels. Les produits sur lesquels je travaille utilisent quelque chose comme un nom d'utilisateur ou un numéro de téléphone pour saler le hachage. Essentiellement quelque chose de différent pour chaque utilisateur mais qui nous est...
J'ai implémenté un BloomFilter en python 3.3 et j'ai obtenu des résultats différents à chaque session. Explorer ce comportement étrange m'a amené à la fonction interne hash () - elle renvoie différentes valeurs de hachage pour la même chaîne à chaque session. Exemple: >>> hash("235")...
Je crée une application Web avec Spring Security qui fonctionnera sur Amazon EC2 et utilisera les équilibreurs de charge élastiques d'Amazon. Malheureusement, ELB ne prend pas en charge les sessions persistantes, je dois donc m'assurer que mon application fonctionne correctement sans sessions....
Je vois ces deux termes un peu bandés (en particulier dans les scénarios Web, mais je suppose que ce n'est pas limité à cela) et je me demandais s'il y avait une différence ou non. Il me semble qu'ils signifient tous les deux que vous êtes autorisé à faire ce que vous faites. Est-ce donc juste une...
Toute variable qu'un utilisateur peut contrôler, un attaquant peut également contrôler et est donc une source d'attaque. Cela s'appelle une variable «corrompue» et n'est pas sûre. Lors de l'utilisation $_SERVER, de nombreuses variables peuvent être contrôlées. PHP_SELF, HTTP_USER_AGENT,...
J'utilise Spring MVC @ControllerAdviceet @ExceptionHandlerpour gérer toutes les exceptions d'une API REST. Cela fonctionne bien pour les exceptions levées par les contrôleurs Web mvc, mais cela ne fonctionne pas pour les exceptions levées par les filtres personnalisés de sécurité Spring, car ils...
Parfois, je rencontre des commentaires ou des réponses qui déclarent catégoriquement que courir pipsous sudoest "faux" ou "mauvais", mais il y a des cas (y compris la façon dont j'ai mis en place un tas d'outils) où il est soit beaucoup plus simple, voire nécessaire de exécutez-le de cette façon....
J'essaye d'ajouter une certaine sécurité aux formulaires sur mon site Web. L'un des formulaires utilise AJAX et l'autre est un simple formulaire «contactez-nous». J'essaye d'ajouter un jeton CSRF. Le problème que j'ai est que le jeton n'apparaît que dans la "valeur" HTML de temps en temps. Le...