Saya telah menemukan lubang keamanan utama di salah satu situs yang menghadap publik perusahaan saya. Ini adalah situs menghadap publik pertama kami yang dikonversi dari situs intranet. Saya membawa masalah ini ke atasan saya dan mereka pada dasarnya mengabaikannya, mengatakan bahwa akan butuh...
Sebagian besar ancaman keamanan yang pernah saya dengar muncul karena bug pada perangkat lunak (mis. Semua input tidak dicek kewarasannya, stack overflow, dll.). Jadi jika kita mengecualikan semua peretasan sosial, apakah semua ancaman keamanan karena bug? Dengan kata lain, jika tidak ada bug,...
Kami sedang mengerjakan proyek baru, kami adalah dua pengembang utama dan mendapatkan persimpangan tentang cara menggunakan token untuk mengamankan komunikasi antara server dan klien. Saran Pertama: (Token Statis satu kali AKA) klien meminta token utama, dengan mengirim nama pengguna dan kata...
Kami mencoba menentukan cara terbaik untuk mengotorisasi pengguna dalam arsitektur layanan mikro, sambil memastikan layanan microser memiliki izin terbatas. Arsitektur kami menggunakan layanan otorisasi pusat untuk menangani penerbitan token JWT. Kami memiliki persyaratan berikut: Pengguna harus...
Latar Belakang Saya dikontrak untuk membantu perusahaan menjaga server mereka. Saya bekerja pada beberapa proyek PHP kecil tetapi juga melihat masalah kinerja dan baru-baru ini, memindai log untuk peretas. Orang-orang ini telah menjalankan server mereka untuk beberapa waktu dan memiliki apa yang...
Tutup. Pertanyaan ini di luar topik . Saat ini tidak menerima jawaban. Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga sesuai topik untuk Rekayasa Perangkat Lunak Stack Exchange. Ditutup 5 tahun yang lalu . Sebagian besar aplikasi populer...
Apakah login pendaftaran menggunakan email adalah ide yang lebih baik daripada nama pengguna untuk mengidentifikasi
Saat menambahkan nilai garam ke nilai hash untuk sesuatu seperti kata sandi yang tidak dapat disimpan dalam teks biasa, dari mana tempat terbaik untuk mendapatkan nilai garam? Untuk konteks, mari kita anggap ini untuk kata sandi pada login halaman
Saya menyiapkan layanan web RESTful baru dan saya perlu menyediakan model kontrol akses berbasis peran . Saya perlu membuat arsitektur yang akan memungkinkan pengguna untuk memberikan nama pengguna dan kata sandi mereka untuk mendapatkan akses ke layanan dan kemudian membatasi bagaimana mereka...
Saya mendapat pertanyaan hari ini dari manajer saya yang menanyakan pemikiran saya tentang apa yang dianggap sebagai desain yang dapat diterima untuk otentikasi aplikasi formulir web, terutama dalam hal sifat dari banyak browser populer untuk "Remember Password" untuk bidang login kata sandi nama...
Menjadi pencipta suatu program, Anda mungkin berada dalam posisi yang lebih baik daripada siapa pun untuk mengetahui kerentanan keamanan dan potensi peretasan. Jika Anda mengetahui kerentanan dalam sistem yang Anda tulis, apakah itu tanda bahwa peningkatan keamanan HARUS ditambahkan sebelum rilis,...
Selama sekitar 10 tahun saya telah bekerja pada berbagai aplikasi klien desktop in-house dengan penyimpanan data SQL Server. Jarang saya memulai proyek ini - sebagian besar adalah pekerjaan pengambilalihan. Satu hal yang tampak konstan di mana-mana adalah bahwa ada satu akun pengguna global SQL...
Ditutup . Pertanyaan ini perlu lebih fokus . Saat ini tidak menerima jawaban. Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga berfokus pada satu masalah hanya dengan mengedit posting ini . Ditutup 4 tahun yang lalu . Saya akan menulis...
Pertanyaan ini muncul hari ini ketika berdiskusi dengan seorang kolega tentang halaman 'buat akun' untuk situs web yang sedang kami kerjakan. Pendapat kolega saya adalah bahwa kita harus membuat registrasi secepat dan semulus mungkin, oleh karena itu kita hanya perlu meminta email kepada pengguna...
Ditutup . Pertanyaan ini didasarkan pada pendapat . Saat ini tidak menerima jawaban. Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga dapat dijawab dengan fakta dan kutipan dengan mengedit posting ini . Ditutup 4 tahun yang lalu . Saya...
Jika kata sandi disimpan hash, bagaimana komputer tahu bahwa kata sandi Anda mirip dengan kata sandi terakhir jika Anda mencoba mengatur ulang kata sandi Anda? Bukankah kedua kata sandi itu akan sama sekali berbeda karena satu hash, dan tidak dapat
Saya memiliki aplikasi web ini yang akan menjadi semua teknologi sisi klien (HTML, CSS, JavaScript / AngularJS, dll ...). Aplikasi web ini akan berinteraksi dengan REST API untuk mengakses dan memodifikasi data. Saat ini belum diputuskan pada jenis sistem otentikasi apa yang akan digunakan oleh...
Saya tidak memiliki banyak expierence dengan aplikasi desktop, tetapi jika saya harus membuat aplikasi desktop server klien, akses data akan dilakukan melalui layanan web. Saya percaya akses data melalui layanan web memberikan keamanan - Saya tidak perlu memasukkan nama pengguna dan kata sandi...
Saya telah membaca beberapa literatur tentang keamanan, khususnya keamanan / enkripsi kata sandi, dan ada satu hal yang saya ingin tahu: apakah aturan 3-serangan merupakan solusi sempurna untuk keamanan kata sandi? Yaitu, jika jumlah upaya kata sandi terbatas pada sejumlah kecil, setelah semua...
Saya sudah banyak membaca tentang OAuth2 mencoba untuk mengatasinya, tapi saya masih bingung tentang sesuatu. Saya memahami bahwa klien mengotorisasi dengan penyedia OAuth (Google misalnya) dan memungkinkan Server Sumber Daya untuk memiliki akses ke data profil pengguna. Kemudian klien dapat...