Nous essayons de déterminer la meilleure façon d'autoriser les utilisateurs dans une architecture de microservices, tout en garantissant que les microservices ont des autorisations limitées. Notre architecture utilise un service d'autorisation central pour gérer l'émission de jetons JWT. Nous avons...
J'ai trouvé une faille de sécurité majeure dans l'un des sites publics de mon entreprise. Il s'agit de notre premier site accessible au public qui a été converti à partir d'un site intranet. J'ai signalé ce problème à mon patron et ils l'ont essentiellement ignoré, disant qu'il faudrait beaucoup de...
La plupart des menaces de sécurité dont j'ai entendu parler sont survenues en raison d'un bogue dans le logiciel (par exemple, toutes les entrées ne sont pas correctement vérifiées, les débordements de pile, etc.). Donc, si nous excluons tout piratage social, toutes les menaces de sécurité...
Nous travaillons sur un nouveau projet, nous sommes deux développeurs principaux et nous sommes à la croisée des chemins sur la façon d'utiliser un token pour sécuriser la communication entre le serveur et le client. Première suggestion: (le jeton statique AKA à jeton unique) le client demande un...
Contexte J'ai été engagé pour aider une entreprise à maintenir son serveur. Je travaille sur quelques projets PHP mineurs, mais je regarde également les problèmes de performances et récemment, j'analyse les journaux pour les pirates. Ces gars utilisent leur serveur depuis un certain temps et ont ce...
Fermé. Cette question est hors sujet . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle soit sur le sujet pour Software Engineering Stack Exchange. Fermé il y a 6 ans . De nos jours, la plupart des applications populaires...
La connexion d'inscription par e-mail est-elle une meilleure idée que le nom d'utilisateur pour identifier
Lorsque vous ajoutez des valeurs de sel à une valeur de hachage pour quelque chose comme un mot de passe qui ne peut pas être stocké en texte brut, quel est le meilleur endroit pour obtenir les valeurs de sel? Pour le contexte, supposons qu'il s'agit de mots de passe sur une connexion à une page...
Je mets en place un nouveau service Web RESTful et je dois fournir un modèle de contrôle d'accès basé sur les rôles . J'ai besoin de créer une architecture qui permettra aux utilisateurs de fournir leur nom d'utilisateur et leur mot de passe pour accéder aux services, puis de restreindre la façon...
J'ai eu une question aujourd'hui de la part de mon responsable me demandant ce que je considère comme une conception acceptable pour l'authentification d'une application de formulaire Web, en particulier en ce qui concerne la nature de nombreux navigateurs populaires, à "Mémoriser le mot de passe"...
En tant que créateur d'un programme, vous êtes probablement mieux placé que quiconque pour être au courant des failles de sécurité et des hacks potentiels. Si vous connaissez une vulnérabilité dans un système que vous avez écrit, est-ce un signe qu'une sécurité accrue DOIT être ajoutée avant la...
Pendant environ 10 ans, j'ai travaillé sur diverses applications clientes de bureau internes avec des magasins de données SQL Server. J'ai rarement commencé ces projets - la plupart sont des travaux de reprise. Une chose qui semblait constante partout était qu'il y avait un seul compte utilisateur...
Fermé . Cette question doit être plus ciblée . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle se concentre sur un problème uniquement en modifiant ce message . Fermé il y a 4 ans . Je suis sur le point d'écrire les...
Si les mots de passe sont stockés hachés, comment un ordinateur pourrait-il savoir que votre mot de passe est similaire au dernier si vous essayez de réinitialiser votre mot de passe? Les deux mots de passe ne seraient-ils pas totalement différents puisqu'un est haché et ne peut pas être...
Pensez-vous que c'est une bonne pratique d'implémenter une possibilité pour permettre à un utilisateur administrateur de se connecter en tant qu'un autre utilisateur, en contournant le mot de passe? Cela pourrait être implémenté par un mot de passe principal ou une fonction au sein de...
Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message . Fermé il y a 4 ans . Je suis un peu en désaccord avec un...
Cette question a été posée aujourd'hui lors d'une discussion avec un collègue sur la page "créer un compte" du site Web sur lequel nous travaillons. L'opinion de mon collègue est que nous devrions rendre l'enregistrement aussi rapide et transparent que possible, donc nous devons simplement demander...
J'ai cette application web qui va être toute technologique côté client (HTML, CSS, JavaScript / AngularJS, etc ...). Cette application web va interagir avec l'API REST afin d'accéder et de modifier les données. À l'heure actuelle, il est indécis sur le type de système d'authentification que l'API...
Je n'ai pas beaucoup d'expérience avec les applications de bureau, mais si je devais créer une application de bureau client-serveur, l'accès aux données se ferait via un service Web. Je crois que l'accès aux données via un service Web offre une sécurité - je n'ai pas besoin de transmettre le nom...
J'ai beaucoup lu sur OAuth2 en essayant de m'en sortir, mais je suis toujours confus à propos de quelque chose. Je comprends que le client autorise le fournisseur OAuth (Google par exemple) et autorise le serveur de ressources à accéder aux données de profil de l'utilisateur. Ensuite, le client...