Preguntas etiquetadas con security

Temas relacionados con la seguridad de aplicaciones y ataques contra software. Por favor, no use esta etiqueta solo, eso da lugar a ambigüedad. Si su pregunta no es sobre un problema de programación específico, considere preguntar en Information Security SE: https://security.stackexchange.com


7
¿Por qué Google antepone while (1); a sus respuestas JSON?
¿Por qué Google antepone while(1);sus respuestas JSON (privadas)? Por ejemplo, aquí hay una respuesta al activar y desactivar un calendario en Google Calendar : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Supongo que esto …
4078 javascript  json  ajax  security 

17
¿Por qué se prefiere char [] sobre String para contraseñas?
En Swing, el campo de contraseña tiene un método getPassword()(devoluciones char[]) en lugar del método habitual getText()(devoluciones String). Del mismo modo, he encontrado una sugerencia de no usar Stringpara manejar contraseñas. ¿Por qué Stringrepresenta una amenaza para la seguridad cuando se trata de contraseñas? Se siente incómodo de usar char[].
3422 java  string  security  passwords  char 

28
¿Cómo puedo evitar la inyección de SQL en PHP?
Las respuestas de esta pregunta son un esfuerzo comunitario . Edite las respuestas existentes para mejorar esta publicación. Actualmente no acepta nuevas respuestas o interacciones. На этот вопрос есть ответы en Stack Overflow на русском : Каким образом избежать SQL-инъекций en PHP? Si la entrada del usuario se inserta sin …

26
¿Cómo debería abordar éticamente el almacenamiento de contraseña de usuario para la recuperación posterior de texto sin formato?
Bloqueado . Esta pregunta y sus respuestas están bloqueadas porque la pregunta está fuera de tema pero tiene un significado histórico. Actualmente no acepta nuevas respuestas o interacciones. A medida que continúo construyendo más y más sitios web y aplicaciones web, a menudo se me pide que almacene las contraseñas …

14
Hash y sal seguros para contraseñas PHP
Actualmente se dice que MD5 es parcialmente inseguro. Teniendo esto en cuenta, me gustaría saber qué mecanismo utilizar para la protección con contraseña. Esta pregunta, ¿es "doble hashing" una contraseña menos segura que simplemente hacerlo una vez? sugiere que el hashing varias veces puede ser una buena idea, mientras que …





7
¿Son suficientes las declaraciones preparadas por PDO para evitar la inyección de SQL?
Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentación de PDO dice: No es necesario citar los parámetros para las declaraciones preparadas; el conductor lo maneja por usted. ¿Es eso realmente …

14
¿Por qué OAuth v2 tiene tokens de acceso y actualización?
La sección 4.2 del borrador del protocolo OAuth 2.0 indica que un servidor de autorización puede devolver tanto un access_token(que se utiliza para autenticarse con un recurso) como un refresh_token, que se utiliza únicamente para crear un nuevo access_token: https://tools.ietf.org/html/rfc6749#section-4.2 ¿Por qué tener ambos? ¿Por qué no simplemente hacer el …

4
Inyección SQL que evita mysql_real_escape_string ()
¿Existe una posibilidad de inyección de SQL incluso cuando se utiliza la mysql_real_escape_string()función? Considere esta situación de muestra. SQL se construye en PHP así: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; He escuchado a muchas personas decirme que un código como …


4
¿Cómo puede bcrypt tener sales incorporadas?
El artículo de Coda Hale "Cómo almacenar una contraseña de forma segura" afirma que: bcrypt tiene sales incorporadas para prevenir ataques de mesa arcoiris. Cita este documento , que dice que en la implementación de OpenBSD de bcrypt: OpenBSD genera la sal bcrypt de 128 bits a partir de una …

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.