Pour les questions relatives à la cryptographie et à la sécurité informatique. Cela peut être la sécurité d'un ordinateur, d'un réseau ou d'une base de données.
Je veux exposer une ressource sur le Web. Je veux protéger cette ressource: m'assurer qu'elle n'est accessible qu'à certaines personnes. Je pourrais mettre en place une sorte d' authentification basée sur un mot de passe . Par exemple, je ne pouvais autoriser l'accès à la ressource que par...
Je connais des personnes qui travaillent actuellement sur un projet pour l'armée américaine (données de faible niveau de sécurité, de type ressources humaines non liées au combat). Un état initial du code de projet a été soumis à l'examen des forces armées, qui ont ensuite exécuté le programme à...
J'ai été embauché par quelqu'un pour effectuer de petits travaux sur un site. C'est un site pour une grande entreprise. Il contient des données très sensibles, la sécurité est donc très importante. Lors de l'analyse du code, j'ai remarqué qu'il était rempli de failles de sécurité: de nombreux...
J'essaie toujours de trouver la meilleure solution de sécurité pour protéger les API REST, car le nombre d'applications mobiles et d'API augmente chaque jour. J'ai essayé différentes méthodes d'authentification, mais il y a toujours des malentendus. J'ai donc besoin des conseils de quelqu'un de...
Comment puis-je m'assurer que mon API REST ne répond qu'aux demandes générées par des clients approuvés, dans mon cas, mes propres applications mobiles? Je veux empêcher les demandes indésirables provenant d'autres sources. Je ne veux pas que les utilisateurs remplissent une clé de série ou quoi...
J'ai un formulaire e-mail de site Web. J'utilise un CAPTCHA personnalisé pour empêcher le spam provenant de robots. Malgré cela, je reçois toujours du spam. Pourquoi? Comment les robots battent-ils le CAPTCHA? Utilisent-ils une sorte d'OCR avancé ou obtiennent-ils simplement la solution là où elle...
Pourquoi le piratage semble-t-il si facile aujourd'hui? Il semble un peu difficile de croire qu'avec toutes nos avancées technologiques et les milliards de dollars consacrés à la conception du logiciel le plus incroyable et époustouflant, nous ne disposions toujours d'aucun autre moyen de...
Dupliquer possible: Écrire des applications Web «sans serveur» Donc, disons que je vais construire un clone Stack Exchange et que je décide d'utiliser quelque chose comme CouchDB comme magasin backend. Si j'utilise leur authentification intégrée et leur autorisation au niveau de la base de...
J'ai une application d'entreprise en cours d'exécution qui utilise les banques de données MySQL et MongoDB . Mon équipe de développement dispose d’un accès SSH sur la machine pour pouvoir exécuter les versions des applications, la maintenance, etc. J'ai récemment soulevé un risque dans l'entreprise...
À mon avis, les attaques par injection SQL peuvent être évitées par: Filtrer, filtrer et encoder soigneusement les entrées (avant leur insertion dans SQL) Utilisation d' instructions préparées / requêtes paramétrées Je suppose qu'il y a des avantages et des inconvénients pour chacun, mais pourquoi...
Au cours de ma formation, on m'a dit qu'il est impensable d'exposer les clés primaires réelles (non seulement les clés de base de données, mais tous les accesseurs principaux) à l'utilisateur. J'ai toujours pensé que c'était un problème de sécurité (car un attaquant pourrait essayer de lire des...
Il existe de nombreux sites sur Internet qui nécessitent des informations de connexion, et le seul moyen de se protéger contre la réutilisation des mots de passe est la "promesse" que les mots de passe sont hachés sur le serveur, ce qui n'est pas toujours vrai. Je me demande donc à quel point il...
J'ai un peu de discussion sur mon lieu de travail et j'essaie de trouver qui a raison et quelle est la bonne chose à faire. Contexte: une application Web intranet que nos clients utilisent pour la comptabilité et d’autres progiciels de gestion intégrés. Je suis d'avis qu'un message d'erreur...
J'essaie de comprendre le compromis inhérent entre les rôles et les autorisations en matière de contrôle d'accès (autorisation). Commençons par une donnée: dans notre système, une autorisation sera une unité d’accès fine (" Editer la ressource X ", " Accéder à la page du tableau de bord ", etc.)....
Supposons que je vérifie le code envoyé par les candidats pour prouver leurs compétences. Clairement, je ne veux pas exécuter les exécutables qu’ils envoient. Pas si clairement que je préfère ne pas exécuter le résultat de la compilation de leur code (par exemple, Java permet de masquer le code...
Lorsqu’on se forge une opinion, c’est une bonne pratique de suivre la tradition scolaire - réfléchissez aussi fort que possible contre votre opinion et essayez de trouver des contre-arguments. Cependant, quels que soient mes efforts, je ne trouve pas les arguments raisonnables en faveur de...
J'ai rencontré pas mal de sites qui limitent la longueur des mots de passe et / ou interdisent l'utilisation de certains caractères. Cela me limite car je veux élargir et allonger l'espace de recherche de mon mot de passe. Cela me donne également le sentiment inconfortable qu’ils ne soient...
J'ai commencé à enregistrer les tentatives de connexion infructueuses sur mon site Web avec un message comme Failed login attempt by qntmfred J'ai remarqué que certaines de ces bûches ressemblaient à Failed login attempt by qntmfredmypassword Je suppose que certaines personnes ont échoué à la...
Lorsque je travaillais sur un projet pour mon entreprise, je devais créer une fonctionnalité permettant aux utilisateurs d'importer / d'exporter des données vers / depuis le site de nos concurrents. Ce faisant, j'ai découvert un très grave exploit de sécurité qui pourrait, en bref, exécuter...
Vaut-il toujours la peine de protéger nos logiciels contre le piratage? Existe-t-il des moyens raisonnablement efficaces pour prévenir ou du moins rendre le piratage