Preguntas etiquetadas con security

Quiero exponer un recurso en la web. Quiero proteger este recurso: asegurarme de que solo sea accesible para ciertas personas. Podría configurar algún tipo de autenticación basada en contraseña . Por ejemplo, solo podría permitir el acceso al recurso a través de un servidor web que verifica las solicitudes entrantes …

128 security  authentication 

Alguien me ha contratado para hacer un pequeño trabajo en un sitio. Es un sitio para una gran empresa. Contiene datos muy confidenciales, por lo que la seguridad es muy importante. Al analizar el código, me di cuenta de que está lleno de agujeros de seguridad: lectura, muchos archivos PHP …

109 php  security  sql-injection 

Todavía estoy tratando de encontrar la mejor solución de seguridad para proteger la API REST, porque la cantidad de aplicaciones móviles y API aumenta cada día. He intentado diferentes formas de autenticación, pero todavía tengo algunos malentendidos, por lo que necesito el consejo de alguien más experimentado. Déjame decirte cómo …

104 security  rest  api  oauth  https 

¿Cómo me aseguro de que mi API REST solo responda a solicitudes generadas por clientes confiables, en mi caso, mis propias aplicaciones móviles? Quiero evitar solicitudes no deseadas procedentes de otras fuentes. No quiero que los usuarios completen una clave de serie o lo que sea, debería suceder detrás de …

96 security  rest  mobile 

Tengo un formulario de correo electrónico del sitio web. Utilizo un CAPTCHA personalizado para evitar el spam de los robots. A pesar de esto, sigo recibiendo spam. ¿Por qué? ¿Cómo vencen los robots al CAPTCHA? ¿Utilizan algún tipo de OCR avanzado o simplemente obtienen la solución de donde está almacenado? …

84 security  captcha 

¿Por qué parece tan fácil piratear hoy? Parece un poco difícil de creer que con todos nuestros avances tecnológicos y los miles de millones de dólares gastados en la ingeniería del software más increíble y alucinante, todavía no tenemos otro medio de protección contra la piratería que un "número de …

77 security 

Posible duplicado: escritura de aplicaciones web "sin servidor" Entonces, digamos que voy a construir un clon de Stack Exchange y decido usar algo como CouchDB como mi tienda de back-end. Si utilizo su autenticación integrada y autorización a nivel de base de datos, ¿hay alguna razón para no permitir que …

62 javascript  architecture  database  security  couchdb 

A mi modo de ver, los ataques de inyección SQL se pueden prevenir mediante: Selección, filtrado y codificación de entrada cuidadosamente (antes de la inserción en SQL) Uso de declaraciones preparadas / consultas parametrizadas Supongo que hay pros y contras para cada uno, pero ¿por qué el n. ° 2 …

59 security  sql  history  hacking  sql-injection 

En mi educación me han dicho que es una idea defectuosa exponer las claves primarias reales (no solo las claves DB, sino todos los accesos primarios) al usuario. Siempre pensé que era un problema de seguridad (porque un atacante podría intentar leer cosas que no fueran suyas). Ahora tengo que …

53 design  security  theory 

Hay muchos sitios en Internet que requieren información de inicio de sesión, y la única forma de protegerse contra la reutilización de contraseñas es la "promesa" de que las contraseñas se cifran en el servidor, lo que no siempre es cierto. Entonces, me pregunto, ¿qué tan difícil es crear una …

46 javascript  security  client-relations  hashing  client-side 

Tengo un poco de discusión en mi lugar de trabajo y estoy tratando de averiguar quién tiene la razón y qué es lo que hay que hacer. Contexto: una aplicación web de intranet que nuestros clientes usan para contabilidad y otras cosas de ERP. Soy de la opinión de que …

45 security  error-handling 

Estoy tratando de entender la compensación inherente entre roles y permisos cuando se trata de control de acceso (autorización). Comencemos con un hecho: en nuestro sistema, un Permiso será una unidad de acceso específica (" Editar recurso X ", " Acceder a la página del tablero ", etc.). Un Rol …

45 security  permissions  authorization  access-control  roles 

Supongamos que estoy revisando el código que envían los solicitantes de empleo para demostrar sus habilidades. Claramente, no quiero ejecutar ejecutables que envían. No es tan claro que prefiero no ejecutar el resultado de la compilación de su código (solo, por ejemplo, Java permite ocultar el código ejecutable en los …

41 security  source-code  compiler  vulnerabilities 

Al formarse opiniones, es una buena práctica seguir la tradición escolar: piense lo más que pueda en contra de la opinión que tenga e intente encontrar argumentos en contra. Sin embargo, no importa cuánto lo intente, simplemente no puedo encontrar argumentos razonables a favor del antivirus (y las medidas de …

40 security  hardware  development-environment 

He encontrado bastantes sitios que limitan la longitud que permiten que las contraseñas sean y / o no permiten ciertos caracteres. Eso me limita, ya que quiero ampliar y alargar el espacio de búsqueda de mi contraseña. También me da una sensación incómoda de que podrían no ser hash. ¿Existen …

39 security  passwords