Les mots de passe ne doivent pas être stockés en texte brut pour des raisons de sécurité évidentes: vous devez stocker les hachages, et vous devez également générer le hachage avec soin pour éviter les attaques de table arc-en-ciel. Cependant, vous devez généralement stocker les n derniers mots de...
Cette question a été migrée depuis Stack Overflow car il est possible d'y répondre sur Software Engineering Stack Exchange. Migré il y a 8 ans . Dans certaines entreprises pour lesquelles j'ai travaillé, les managers ont dépensé beaucoup d'argent en consultants en sécurité informatique....
Supposons que je souhaite que certaines parties de mon logiciel soient cryptées. Par exemple, les informations d'identification pour une base de données, etc. J'ai besoin de stocker ces valeurs quelque part, mais le faire en texte clair permettrait à un attaquant d'obtenir facilement un accès non...
Dans l'état actuel des choses, cette question ne convient pas à notre format de questions / réponses. Nous nous attendons à ce que les réponses soient étayées par des faits, des références ou une expertise, mais cette question suscitera probablement un débat, des arguments, des sondages ou une...
Comment un projet open source avec un référentiel public doit-il gérer au mieux les demandes de tirage (PR) qui corrigent des vulnérabilités de sécurité signalées de manière sécurisée mais pas encore divulguées publiquement? Je suis impliqué dans un projet open source avec plusieurs centaines de...
L'injection SQL est un problème de sécurité très grave, en grande partie parce qu'il est si facile de se tromper: la façon évidente et intuitive de créer une requête intégrant les entrées utilisateur vous rend vulnérable, et la bonne façon de l'atténuer nécessite que vous connaissiez les paramètres...
Cette question a été migrée depuis Stack Overflow car il est possible d'y répondre sur Software Engineering Stack Exchange. Migré il y a 7 ans . Quels aspects dois-je prendre en compte lors de la conception et de la publication de logiciels qui doivent respecter les restrictions d'exportation des...
J'ai lu dans de nombreuses sources que la sortie de rand () de PHP est prévisible car c'est un PRNG, et j'accepte principalement cela comme un fait simplement parce que je l'ai vu dans tant d'endroits. Je suis intéressé par une preuve de concept: comment pourrais-je prévoir la sortie de rand ()? En...
Si je crée une connexion pour une application qui présente un risque de sécurité moyen à faible (en d'autres termes, ce n'est pas une application bancaire ou quoi que ce soit), est-il acceptable pour moi de vérifier un mot de passe entré par l'utilisateur en disant simplement quelque chose comme:...
Je suis en désaccord avec quelqu'un (un client) sur le processus d'identification / d'authentification des utilisateurs d'un système. Le nœud du problème est qu'ils veulent que chaque utilisateur ait un mot de passe unique au monde (c'est-à-dire que deux utilisateurs ne peuvent pas avoir le même...
Après avoir lu cette question intéressante, j'ai eu l'impression d'avoir une bonne idée de l'algorithme de hachage non sécurisé que j'utiliserais si j'en avais besoin, mais je ne sais pas pourquoi je pourrais utiliser un algorithme sécurisé à la place. Alors, quelle est la distinction? La sortie...
Il est difficile de dire ce qui est demandé ici. Cette question est ambiguë, vague, incomplète, trop large ou rhétorique et on ne peut raisonnablement y répondre sous sa forme actuelle. Pour obtenir de l'aide pour clarifier cette question afin qu'elle puisse être rouverte, visitez le centre d'aide...
J'ai lu cette réponse et trouvé un commentaire insistant pour ne pas envoyer de mot de passe par email: les mots de passe ne devraient pas pouvoir être récupérés par e-mail, je déteste ça. Cela signifie que mon mot de passe est stocké en texte brut quelque part. il doit être réinitialisé...
J'utilise des jetons JWT dans les en-têtes HTTP pour authentifier les demandes auprès d'un serveur de ressources. Le serveur de ressources et le serveur d'authentification sont deux rôles de travail distincts sur Azure. Je ne peux pas décider si je dois stocker les revendications dans le jeton ou...
J'ai récemment utilisé un service gouvernemental pour lequel j'avais un compte il y a des années. Je ne me souvenais pas de mon mot de passe pour le service, j'ai donc utilisé le lien "mot de passe oublié" et j'ai été étonné de voir que ce site Web du gouvernement a envoyé mon mot de passe à mon...
Je construis un programme interprété assez complexe en Python. Je travaille sur la plupart de ce code à d'autres fins depuis quelques mois, et je ne veux donc pas que mon client puisse simplement le copier et essayer de le vendre, car je pense qu'il vaut une bonne somme. Le problème est que j'ai...
Fermé . Cette question doit être plus ciblée . Il n'accepte pas actuellement de réponses. Vous souhaitez améliorer cette question? Mettez à jour la question pour qu'elle se concentre sur un seul problème en modifiant ce post . Fermé il y a 5 ans . J'ai donc travaillé dans de nombreux lieux de...
Cela semble moins courant avec les sites Web plus récents, mais de nombreux sites Web sur lesquels j'ai besoin d'un compte (comme pour payer les factures, etc.) m'empêchent de créer un mot de passe avec des espaces. Cela ne fait que rendre les choses plus difficiles à mémoriser , et je ne suis au...
Pour une entreprise pour laquelle je travaillais auparavant, j'ai dû implémenter un récepteur de socket qui prenait principalement des données sous forme UDP via une connexion locale à partir d'un matériel de capteur spécialisé. Les données en question étaient un paquet UDP bien formé, mais il est...
Je suis un développeur Java de longue date et enfin, après la majeure, j'ai le temps de l'étudier décemment afin de passer l'examen de certification ... Une chose qui m'a toujours dérangé, c'est que String est "final". Je le comprends quand une lecture sur les problèmes de sécurité et les choses...