Untuk pertanyaan terkait kriptografi dan keamanan TI. Ini bisa berupa keamanan komputer, jaringan, atau basis data.
Saya ingin mengekspos sumber daya di web. Saya ingin melindungi sumber ini: untuk memastikan itu hanya dapat diakses oleh orang-orang tertentu. Saya dapat mengatur semacam otentikasi berbasis kata sandi . Misalnya, saya hanya bisa mengizinkan akses ke sumber daya melalui server web yang memeriksa...
Saya kenal beberapa orang yang saat ini mengerjakan proyek militer AS (tingkat keamanan rendah, data jenis sumber daya manusia non-tempur). Keadaan awal dari kode proyek diserahkan kepada militer untuk ditinjau, dan mereka menjalankan program melalui semacam alat penganalisa keamanan. Itu...
Saya telah disewa oleh seseorang untuk melakukan pekerjaan kecil di sebuah situs. Ini situs untuk perusahaan besar. Ini berisi data yang sangat sensitif, jadi keamanan sangat penting. Setelah menganalisis kode, saya perhatikan itu dipenuhi dengan lubang keamanan - baca, banyak file PHP yang...
Saya masih berusaha menemukan solusi keamanan terbaik untuk melindungi REST API, karena jumlah aplikasi seluler dan API meningkat setiap hari. Saya telah mencoba berbagai cara otentikasi, tetapi masih memiliki beberapa kesalahpahaman, jadi saya perlu saran dari seseorang yang lebih berpengalaman....
Bagaimana cara memastikan REST API saya hanya menanggapi permintaan yang dihasilkan oleh klien tepercaya, dalam kasus saya aplikasi seluler saya sendiri? Saya ingin mencegah permintaan yang tidak diinginkan datang dari sumber lain. Saya tidak ingin pengguna mengisi kunci serial atau apa pun, itu...
Saya memiliki formulir email situs web. Saya menggunakan CAPTCHA khusus untuk mencegah spam dari robot. Meskipun demikian, saya masih mendapatkan spam. Mengapa? Bagaimana robot mengalahkan CAPTCHA? Apakah mereka menggunakan semacam OCR canggih atau hanya mendapatkan solusi dari tempat itu...
Mengapa hari ini begitu mudah dibajak? Tampaknya agak sulit untuk percaya bahwa dengan semua kemajuan teknologi kami dan miliaran dolar yang dihabiskan untuk rekayasa perangkat lunak yang paling tidak dapat dipercaya dan mengejutkan, kami masih tidak memiliki cara lain untuk melindungi terhadap...
Kemungkinan Duplikat: Menulis aplikasi "server kurang" Web Jadi, katakanlah saya akan membangun klon Stack Exchange dan saya memutuskan untuk menggunakan sesuatu seperti CouchDB sebagai toko backend saya. Jika saya menggunakan otentikasi bawaan dan otorisasi tingkat basis data, apakah ada...
Saya memiliki aplikasi perusahaan yang berjalan yang menggunakan datastore MySQL dan MongoDB . Semua tim pengembangan saya memiliki akses SSH ke mesin untuk melakukan rilis aplikasi, pemeliharaan, dll. Saya baru-baru ini meningkatkan risiko dalam bisnis ketika pengguna mulai menyimpan data yang...
Cara saya melihatnya, serangan injeksi SQL dapat dicegah dengan: Menyaring, memfilter, menyandikan input dengan hati-hati (sebelum dimasukkan ke dalam SQL) Menggunakan pernyataan / kueri parameter yang disiapkan Saya kira ada pro dan kontra untuk masing-masing, tetapi mengapa # 2 lepas landas...
Dalam pendidikan saya, saya telah diberitahu bahwa itu adalah ide yang salah untuk mengekspos kunci primer yang sebenarnya (tidak hanya kunci DB, tetapi semua aksesor utama) kepada pengguna. Saya selalu menganggapnya sebagai masalah keamanan (karena penyerang dapat mencoba membaca barang bukan...
Ada banyak situs di Internet yang memerlukan informasi login, dan satu-satunya cara untuk melindungi terhadap penggunaan kembali kata sandi adalah "janji" bahwa kata sandi di-hash di server, yang tidak selalu benar. Jadi saya bertanya-tanya, seberapa sulit untuk membuat halaman web yang hash...
Saya mencoba memahami tradeoff yang melekat antara peran dan izin ketika datang ke kontrol akses (otorisasi). Mari kita mulai dengan yang diberikan: dalam sistem kami, Izin akan menjadi unit akses berbutir halus (" Edit sumber daya X ", " Akses halaman dasbor ", dll.). Sebuah Peran akan menjadi...
Saya punya sedikit argumen di tempat kerja saya dan saya mencoba mencari tahu siapa yang benar, dan apa hal yang benar untuk dilakukan. Konteks: aplikasi web intranet yang digunakan pelanggan kami untuk akuntansi dan hal-hal ERP lainnya. Saya berpendapat bahwa pesan kesalahan yang disajikan...
Misalkan saya meninjau kode yang dikirim pelamar pekerjaan untuk membuktikan keterampilan mereka. Jelas saya tidak ingin menjalankan executables yang mereka kirim. Tidak begitu jelas saya lebih suka tidak menjalankan hasil kompilasi kode mereka (hanya misalnya, Java memungkinkan untuk...
Ketika membentuk opini, itu adalah praktik yang baik untuk mengikuti tradisi skolastik - berpikir sekeras yang Anda bisa melawan opini yang Anda pegang dan mencoba menemukan argumen-argumen yang berlawanan. Namun, tidak peduli seberapa keras saya mencoba, saya tidak dapat menemukan argumen yang...
Saya telah menemukan beberapa situs yang membatasi panjang kata sandi yang diizinkan dan / atau melarang karakter tertentu. Itu membatasi saya karena saya ingin memperluas dan memperpanjang ruang pencarian kata sandi saya. Itu juga memberi saya perasaan tidak nyaman bahwa mereka mungkin tidak...
Saya mulai mencatat upaya login yang gagal di situs web saya dengan pesan seperti Failed login attempt by qntmfred Saya perhatikan beberapa log ini terlihat seperti Failed login attempt by qntmfredmypassword Saya menduga beberapa orang gagal login karena mereka mengetik nama pengguna dan kata...
Saat mengerjakan proyek untuk perusahaan saya, saya perlu membangun fungsionalitas yang memungkinkan pengguna untuk mengimpor / mengekspor data ke / dari situs pesaing kami. Saat melakukan ini, saya menemukan eksploitasi keamanan yang sangat serius yang, singkatnya, dapat melakukan skrip apa pun di...
Apakah masih layak untuk melindungi perangkat lunak kami dari pembajakan? Adakah cara yang cukup efektif untuk mencegah atau setidaknya mempersulit