Ini adalah kebijakan kata sandi yang baru saya dapatkan dari UPS (hanya untuk pengecekan status paket): Kata sandi Anda harus antara 8 dan 26 karakter. Itu harus mengandung setidaknya tiga jenis karakter berikut: huruf kecil, huruf kapital, angka, karakter khusus, atau spasi. Kata sandi mungkin...
Saya sedang mengembangkan aplikasi web dengan fokus yang kuat pada keamanan. Tindakan apa yang dapat diambil untuk mencegah mereka yang bekerja pada aplikasi (programmer, DBA, staf jaminan kualitas) menangkap nilai yang dimasukkan pengguna yang harus dilindungi, seperti kata sandi, nomor jaminan...
Saya telah membaca beberapa literatur tentang keamanan, khususnya keamanan / enkripsi kata sandi, dan ada satu hal yang saya ingin tahu: apakah aturan 3-serangan merupakan solusi sempurna untuk keamanan kata sandi? Yaitu, jika jumlah upaya kata sandi terbatas pada sejumlah kecil, setelah semua...
Saya sudah banyak membaca tentang OAuth2 mencoba untuk mengatasinya, tapi saya masih bingung tentang sesuatu. Saya memahami bahwa klien mengotorisasi dengan penyedia OAuth (Google misalnya) dan memungkinkan Server Sumber Daya untuk memiliki akses ke data profil pengguna. Kemudian klien dapat...
Di universitas lokal saya, ada klub komputasi mahasiswa kecil sekitar 20 siswa. Klub ini memiliki beberapa tim kecil dengan area fokus tertentu, seperti pengembangan ponsel, robot, pengembangan game, dan peretasan / keamanan. Saya memperkenalkan beberapa konsep pengembangan tangkas dasar untuk...
Seringkali apa yang ditampilkan kepada pengguna (misalnya pada halaman web) sebagian didasarkan pada pemeriksaan keamanan. Saya biasanya menganggap keamanan tingkat pengguna / ACL sebagai bagian dari logika bisnis suatu sistem. Jika tampilan secara eksplisit memeriksa keamanan untuk menampilkan...
RFC Websocket saat ini mengharuskan klien websocket menutupi semua data dalam bingkai saat mengirim (tetapi server tidak diharuskan untuk). Alasan protokol dirancang dengan cara ini adalah untuk mencegah data bingkai dari diubah oleh layanan jahat antara klien dan server (proxy, dll). Namun, kunci...
Saya harus merancang "widget", sebuah skrip yang akan dimasukkan oleh mitra di situs web mereka untuk menampilkan beberapa UI dan membuat panggilan ke API kami. Pada dasarnya itu akan menampilkan data kami di situs-situs ini berdasarkan pada beberapa ID yang mereka berikan dalam panggilan API...
Saya mewarisi beberapa proyek di mana rahasia dalam kontrol sumber di App.config dan file serupa. Untungnya ini bukan repositori publik sehingga risikonya tidak seserius seharusnya. Saya mencari cara yang lebih baik untuk mengelola ini, seperti Azure KeyVault. (Tapi saya tidak bermaksud pertanyaan...
Dalam keadaan apa seorang Konsultan IT harus mengenkripsi hard drive mereka untuk melindungi kode / data klien mereka? Saya berpikir bahwa jika itu tidak menambah banyak beban kerja Anda, Anda mungkin juga menggunakan enkripsi cakram penuh dengan kata sandi 'lemah' untuk setidaknya mencegah...
Ketika Anda membuat kode, apakah Anda secara aktif berpikir tentang kode Anda yang dapat dieksploitasi dengan cara yang semula tidak dimaksudkan untuk dilakukan dan dengan demikian mendapatkan akses ke informasi yang dilindungi, menjalankan perintah atau hal lain yang Anda tidak ingin dilakukan...
Saya perlu menerapkan fleksibel DAN sederhana (jika ada) dan pada saat yang sama menggunakan sarana bawaan jika memungkinkan Sejauh ini saya telah menerapkan MembershipProvider dan RoleProviders. Ini keren tapi kemana saya harus pergi selanjutnya? Saya merasa seperti saya perlu menambahkan...
Exchange 2010 memiliki model delegasi di mana grup cmdlet winrm secara esensial dikelompokkan ke dalam peran, dan peran yang ditugaskan untuk pengguna. ( Sumber gambar ) Ini adalah model yang hebat & fleksibel mengingat bagaimana saya dapat memanfaatkan semua manfaat PowerShell, sambil...
Saya perlu merancang database yang akan berisi informasi tentang penyakit pribadi pengguna. Apa yang bisa menjadi pendekatan untuk mengimplementasikan kolom dari tabel DB: mengenkripsi informasi, memisahkan data dalam dua perbedaan DB, satu untuk data sensitif dan satu lagi untuk data tidak...
Saya sedang dalam proses desain untuk aplikasi web Java yang mungkin akan saya gunakan pada Google App Engine (GAE). Yang menyenangkan tentang GAE adalah saya benar-benar tidak perlu khawatir tentang memperkuat aplikasi saya dari serangan DDoS yang ditakuti - saya hanya menentukan "plafon...
Haruskah informasi tentang izin dan peran klien dimasukkan dalam JWT? Memiliki informasi seperti itu di token JWT akan sangat membantu karena setiap kali token yang valid datang, akan lebih mudah untuk mengekstrak informasi tentang izin tentang pengguna dan tidak perlu menghubungi database untuk...
Tutup. Pertanyaan ini di luar topik . Saat ini tidak menerima jawaban. Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga sesuai topik untuk Rekayasa Perangkat Lunak Stack Exchange. Ditutup 6 tahun yang lalu . Saya merasa bahwa tidak ada...
Saya telah mengerjakan proyek pribadi dalam C # yang tujuannya kurang lebih memungkinkan pengguna untuk mengeksekusi skrip yang ditulis oleh pengguna lain dan membatasi izin skrip itu. Program saya mengkompilasi skrip menggunakan perpustakaan pihak ketiga, kotak pasir mereka menggunakan mekanisme...
Orang acak di internet memberi tahu saya bahwa suatu teknologi aman (1), aman digunakan dan tidak mengandung keyloggers karena bersifat open source. Sementara saya dapat dengan mudah mendeteksi stroke logger kunci dalam aplikasi open source ini , apa yang dapat dilakukan pengembang (2) untuk...
Ada banyak pertanyaan di sini yang berhubungan dengan mekanisme otentikasi dan otorisasi API ISTIRAHAT tetapi tidak satupun dari mereka tampaknya masuk ke detail tentang bagaimana menerapkan layanan aman di tingkat aplikasi. Sebagai contoh, misalkan webapp saya (saya ingat Java tetapi ini berlaku...