Tag: security

Themen im Zusammenhang mit der Anwendung Sicherheit und die Angriffe gegen die software. Bitte verwenden Sie nicht dieser tag allein, dass die Ergebnisse in Zweifel.
Wenn Ihre Frage ist nicht eine spezifische Programmierung problem, denken Sie bitte, stattdessen zu Fragen, es bei der Information Security SE: https://security.stackexchange.com

Wie einrichten von Java zur Verwendung von Benutzer-spezifische Zertifikate für Eclipse?

Anzahl der Antworten 2 Antworten
Ich kann nicht glauben, ich bin die einzige person, um gegen dieses problem. Ich ve wurde googeln für Stunden, und haben kein Glück gehabt. Das Java-security-Dokumentation scheint nicht zu Anschrift PKCS12-Zertifikate gründlich. Ich bin versucht, setup-Java für

Ist es eine verschlüsselte version control system?

Anzahl der Antworten 13 Antworten
Ich bin auf der Suche für eine verschlüsselte version control system . Grundsätzlich würde ich gerne Haben alle Dateien verschlüsselt lokal, bevor Sie an den server. Der server sollte nie erhalten Sie eine Datei oder Daten unverschlüsselt.

Wie kann ich speichern Sie vertrauliche Daten sicher in eine MySQL-Datenbank?

Anzahl der Antworten 3 Antworten
Mache ich eine Bewerbung für eine Firma, ich arbeite für. Ich habe es zum Schutz vor SQL-injection und einige XSS-Techniken. Mein Hauptproblem ist, halten Sie sensible Informationen geschützt, wie Sozialversicherungsnummer und Adresse, denn das Unternehmen braucht, um

Überprüfen Sie, dass der IPN Aufruf von PayPal?

Anzahl der Antworten 6 Antworten
Wie kann ich überprüfen, dass eine PayPal-IPN-POST-Anforderung an meine angegebene notifyURL ist in der Tat kommt von PayPal? Ich meine nicht den Vergleich der Daten zu dem, was ich zuvor gesendeten, aber wie kann ich überprüfen, dass

Speichern von Schlüssel mittels Keystore

Anzahl der Antworten 1 Antworten
Ich bin mit Schlüsselspeicher schützen private Schlüssel in eine Datei(mit Kennwort für die Datei).Ich Verstand nicht, diesen code //save my secret key javax.crypto.SecretKey mySecretKey; KeyStore.SecretKeyEntry skEntry = new KeyStore.SecretKeyEntry(mySecretKey); ks.setEntry("secretKeyAlias", skEntry, new KeyStore.PasswordProtection(password)); //store away the keystore

Wenn Ihr stack und heap sind nicht ausführbar, wie kann man den code ausführen?

Anzahl der Antworten 7 Antworten
Las ich ein Buch über Puffer-überlauf, und er schlage vor, die nächste zu tun haben: Macht der stack und heap) non-executable bietet eine hohe Schutz gegen viele Arten von buffer-overflow-Angriffe für bestehende Programme. Aber ich verstehe nicht,

Meine php-site wurde gehackt von codes hochgeladen als Bild..?

Anzahl der Antworten 4 Antworten
Gestern war meine Seite eingebunden. Der Angreifer verpasst dem index.php Datei, um Ihre eigene (mit all Ihrer Herrlichkeit Nachrichten und GRÜßEN). Ich habe benachrichtigt den hosting-Unternehmen über diese (läuft auf einem dedizierten server), und für meinen Teil,

Hat die TLS-Gewährleistung der Nachrichtenintegrität und Vertraulichkeit der Daten-übertragung in einem RESTful Java enterprise

Anzahl der Antworten 2 Antworten
Ich möchte web-service-Sicherheit nach OWASP Web-Service-Sicherheit. Dabei stolperte ich über die zwei Punkte: Message Integrity Vertraulichkeit Der Nachrichten Bisher gibt es nur einen RESTful-Dienst, die direkt aufgerufen werden können, die von einem client. Für jeden request muss

Ist TransportWithMessageCredential ohne Zertifikat sicher genug für einen WCF-Dienst?

Anzahl der Antworten 1 Antworten
Entwickelt ich eine WCF-self-hosted-service, für den habe ich zwei grundlegende Anforderungen an die Sicherheit, wie es zugegriffen werden soll über das Internet: Transport layer sollte Manipulationen verhindern und schnüffeln, vor allem das abrufen von Anmeldeinformationen für die

Ist es möglich, zu entschlüsseln und anzuzeigen ViewState-Werte?

Anzahl der Antworten 3 Antworten
Ich weiß, dass es tools gibt, mit denen Sie den Inhalt von asp.net viewstate. Ist es möglich zu sehen, und ändern Sie den Inhalt des Anzeigestatus wenn es verschlüsselt wurde, indem die <machineKey ... /> Knoten auf

Was ist der Unterschied zwischen db_owner vs. db_datareader / db_datawriter?

Anzahl der Antworten 1 Antworten
Entwickelte ich einen business-Anwendung-bei im wesentlichen der gleichen Zeit habe ich gelernt zu tun, nicht trivial ist alles, was mit SQL Server. Ich gebe Dateneingabe Menschen db_owner und Zuschauer db_datareader. Versuche jetzt, verhärten sich die Dinge und

Hinzufügen HSTS-Funktion zu Tomcat

Anzahl der Antworten 4 Antworten
Vertrauen, das Sie alle gut. Meine web-Anwendung auf tomcat ausführen 6.0.43 und nicht den apache oder nginx in der front. Ich bin schon durchsetzen meinem web vom http-redirect auf die https-Verwendung: URL Umleiten ../webapps/ROOT/index.jsp <% response.sendRedirect("https://www.epi.com.my/portal/"); %>

Warum, wenn ich Identität innerhalb eines WCF-Diensts, kann meinen Dienst nicht laden-System.Transaktionen wenn ich versuche, führen Sie eine LINQ to SQL-Abfrage?

Anzahl der Antworten 7 Antworten
Habe ich einen WCF-Dienst in IIS 7.0 gehostet, die laufen muss-Datenbank Abfragen. Um die Rechte dafür bin ich die Identität innerhalb des service wie folgt: - Code [OperationBehavior(Impersonation = ImpersonationOption.Allowed)] public void MyOperation(int arg) Konfiguration <behavior name="ReceivingServiceBehavior">

Verschlüsseln von Anmeldeinformationen in einer WPF-Anwendung

Anzahl der Antworten 1 Antworten
In einer WPF-Anwendung möchte ich die typischen "Remember Me" - option zum speichern von Anmeldeinformationen und verwenden Sie Sie Nächstes mal automatisch die Anwendung gestartet wird. Mit einem one-way-hash ist eindeutig keine option, und ich kann zwar

Konfigurieren einer Kontext-spezifischen Tomcat Security-Realm

Anzahl der Antworten 2 Antworten
Ich versuche, eine Kontext-spezifische security-Bereich in Tomcat 6.0, aber wenn ich starten Sie Tomcat erhalte ich die folgende Fehlermeldung: 09-Dec-2010 16:12:40 org.apache.catalina.startup.ContextConfig validateSecurityRoles INFO: WARNING: Security role name myrole used in an <auth-constraint> without being defined in

Schützen string-Konstante vor reverse-engineering

Anzahl der Antworten 9 Antworten
Habe ich android-Anwendung, die hart codiert (statische string-Konstanten) - Anmeldeinformationen (user/pass) für das senden von E-Mails via SMTP. Das problem ist, dass .dex-Datei in .apk kann leicht reverse-engineered und jeder kann sehen, wie mein Passwort. Gibt es

wcf-net.tcp über SSL

Anzahl der Antworten 1 Antworten
Hat jemand schon Erfahrung mit SSL net.tcp-Bindung in WCF? Ich habe gelesen, es ist möglich, aber nicht die Suche nach guten Informationen auf, wie es zu implementieren. Ich würde gerne hören von wer kennt-oder wer hat diese

system() vs execve()

Anzahl der Antworten 3 Antworten
Beide system() und execve() kann verwendet werden, zum ausführen einer anderen Befehl innerhalb eines Programms. Warum in ein set-UID Programme system() ist gefährlich, während execve() sicher ist ? InformationsquelleAutor Jake | 2014-12-12

Lesen/schreiben NFC-tag-mit-Passwort-Schutz

Anzahl der Antworten 3 Antworten
Muss ich schreiben/Lesen von textuellen Daten auf ein NFC-tag. Der Weg, den ich gehe davon aus, dass der lese - /Schreibzugriff funktionieren sollte, ist die folgende: Ersten mal schreiben ich sollte in der Lage sein, um Kennwort

Testen von Spring Boot Security einfach

Anzahl der Antworten 2 Antworten
Ich habe Mühe mit dem testen der Zugriffssteuerung auf URLs, geschützt durch Spring Security. Die Konfiguration sieht so aus: http .authorizeRequests() .antMatchers("/api/user/**", "/user").authenticated() .antMatchers("/api/admin/**", "/templates/admin/**", "/admin/**").hasAuthority("ADMIN") .anyRequest().permitAll(); Und der test-Klasse sieht wie folgt aus: package com.kubukoz.myapp; import

$('iframe').css('visibility','hidden') funktioniert nicht in google chrome

Anzahl der Antworten 3 Antworten
Ich bin mit so etwas wie $('ul li').find('iframe').css({'visibility':'visible'}); wich funktioniert gut In Firefox und Opera, Konsole Fehler: Unsafe JavaScript attempt to access frame with URL file:///D:/Configuracion/Documents%20and%20Settings/TNMC000/Escritorio/player/roundabout/js/round1.htm von Rahmen mit URL http://www.youtube.com/embed/hurnoKLuBD8. Domains, protocols and ports must match.

So deaktivieren Sie die Verzeichnis-Indizierung von apache2, wenn der server root?

Anzahl der Antworten 5 Antworten
Muss ich deaktivieren, dass die Indizierung wenn ich auf meinem root-Verzeichnis auf einem apache2-server, irgendwelche Tipps? InformationsquelleAutor Lucas Famelli | 2011-06-13

Es konnte keine Vertrauensstellung für den sicheren SSL/TLS-Kanal mit subject alternative name certificate

Anzahl der Antworten 1 Antworten
Ich bin immer ein System.Net.WebException Die zugrunde liegende Verbindung wurde geschlossen: Konnte keine Vertrauensstellung einrichten Beziehung für den sicheren SSL/TLS-Kanal Die innere Ausnahme ist System.Sicherheit.Die Authentifizierung.AuthenticationException Des remote-Zertifikats ist ungültig nach der Validierung Verfahren bei der Verwendung

Software-Sicherheits-Moduls/ toolkit ersetzt HSM für die Entwicklung von crypto-Funktionen

Anzahl der Antworten 4 Antworten
Ich gearbeitet und absolvierte ein PKI-Projekt, das einen HSM für generieren - speichern von Schlüsseln und Durchführung von crypto-Funktionen. Ich verwendete PKCS#11-Schnittstelle mit unserer Applikation für sigining/Verifizierung und Verschlüsselung/Entschlüsselung. Unsere Plattform ist windows. Nun sind wir auf

java.Sicherheit.cert.CertificateParsingException

Anzahl der Antworten 2 Antworten
Ich bin immer folgende exception, wenn versucht wird, erstellen Sie ein neues Zertifikat: java.Sicherheit.cert.CertificateParsingException: unterzeichnet überrannt, bytes = 224 try { InputStream certificateStream = new ByteArrayInputStream(certificate); CertificateFactory cf = CertificateFactory.getInstance("X.509"); Collection certificateCollection = cf.generateCertificates(certificateStream); } catch (CertificateException

Das hinzufügen von X-CSRF-Token-header, die Global auf alle Instanzen von XMLHttpRequest();

Anzahl der Antworten 3 Antworten
Ich bin mit einem Drittanbieter-Bibliothek, die erstellt einen raw - XMLHttpRequest mit new XMLHttpRequest. Diese umgeht meine CSRF-Schutz und wird abgeschossen durch meine rails-server. Gibt es eine Möglichkeit, Global hinzufügen einer vordefinierten CSRF-token ($('meta[name=csrf-token]').attr('content')) für ALLE Instanzen

Wie konfigurieren Sie den HttpOnly-cookies im tomcat / java-webapps?

Anzahl der Antworten 9 Antworten
Nach der Lektüre von Jeff ' s blog-post auf Schützen Sie Ihre Cookies HttpOnly. Ich würde gerne umsetzen HttpOnly-cookies in meinem web-Anwendung. Wie sagen Sie tomcat verwenden nur http cookies für sessions? InformationsquelleAutor ScArcher2 | 2008-08-28

Unsicheren JavaScript-Versuch zu initiieren, die navigation für Rahmen mit URL

Anzahl der Antworten 1 Antworten
Dies ist ein bisschen kompliziert, bitte Geduld mit mir. Website a hat Einen iframe enthält, website B und website B hat ein iframe enthalten website C. Gibt es eine Schaltfläche auf der website von C, wenn geklickt

No bean named 'springSecurityFilterChain' definiert ist, Spring Security 3.1

Anzahl der Antworten 1 Antworten
Habe bei google viel gefunden und viele Fragen über dieses Problem, aber keine Lösung die mein problem gelöst. Bitte, wenn einer lösen könnte mein problem Web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0" metadata-complete="true"> <!--

Versuch, brute-force-Angriff auf MIFARE classic 1k

Anzahl der Antworten 1 Antworten
Ich versuche, ein Programm zu schreiben, zu erraten, ein block-Schlüssel von einer meiner MIFARE Classic 1K Karten. Ist es möglich, um vielleicht laufen so etwas wie dieses? int i = 0x0; while (true) { i += 0x1;

se der ClientScriptManager.RegisterForEventValidation Methode, um zu registrieren, das postback oder callback-Daten für die Validierung

Anzahl der Antworten 5 Antworten
Jungs, ich habe ein usercontrol in meinem asp.net 3.5 Anwendung, und ich bin an einigen plain-text auf button-click-Ereignis. die Schaltfläche befindet sich in der usercontrol. aber wenn ich das Ereignis ausgelöst, erhalte ich die folgende Fehlermeldung; Ungültiges

SSL Java.io.IOException: Invalid keystore format

Anzahl der Antworten 4 Antworten
Ich die Prüfung von SSL in java mit SSLServerSocket und anderen Klassen im java.ssl-Paket. Wenn ich den folgenden code ausführen, bekomme ich die exception java.io.IOException: Invalid keystore format. Mein code: package testing; import java.io.BufferedReader; import java.io.FileInputStream; import

Java 7 Unterstützung von AES-GCM in SSL/TLS?

Anzahl der Antworten 5 Antworten
Nach Java-7-Dokumentation als auch als third-party-Anbieter, es erscheint Java 7 unterstützt die AES-GCM-Suiten: ibm java 7 java 7-ssl-doc Ich wurde schlagen einige Fehler in der Verhandlung zwischen client und server nicht in der Lage zu verhandeln eine

Sicherheit von Python eval() auf nicht vertrauenswürdigen strings?

Anzahl der Antworten 6 Antworten
Wenn ich die Bewertung ein Python-string mit eval(), und eine Klasse haben wie: class Foo(object): a = 3 def bar(self, x): return x + a Was sind die Sicherheitsrisiken, wenn ich kein Vertrauen in die Schnur? Insbesondere:

How to do cross-domain authentication sicher?

Anzahl der Antworten 4 Antworten
So. Ich habe die domain A.com, von denen die Benutzer-Authentifizierung erfolgt auf der domain B.com. Derzeit habe ich es so eingestellt, dass der login-form veröffentlicht werden B.com, die (wenn erfolgreich) setzt die session-cookie und feuert Umleitung zu

Sicher übergeben Passwort für openssl über stdin

Anzahl der Antworten 5 Antworten
Wir wissen, wir können eine Datei verschlüsseln mit openssl mit diesem Befehl: openssl aes-256-cbc -a -salt -in twitterpost.txt -out foo.enc -pass stdin Wird das Paßwort von stdin Lesen. Als solche geben Sie das Kennwort im Voraus, alles,

HTTPS-Sicherheit beeinträchtigt wird Fehler. Wie zu beheben?

Anzahl der Antworten 3 Antworten
Klicken Sie auf href - auf dieser Seite habe ich hat das einbetten des iFrames. Ihre iframe-Inhalt-links. Wenn ich gehen, um die playlist-Registerkarte, und klicken Sie auf die Bilder in der Konsole mit dem IE9 sehe ich:

Vermeiden Sie die Sicherheitswarnung von Java wegen Zertifikat Fehler

Anzahl der Antworten 1 Antworten
Besuche ich eine java-Anwendung mit website bekomme ich Fehler "application blocked by security settings" Dies ist aufgrund der problem mit dem Zertifikat. Ich weiß, die Verleger, so kann ich ihm Vertrauen. Dann nach einer schnellen google-Suche habe

PHP-Sicherheit - $_POST - Injektion

Anzahl der Antworten 2 Antworten
Bevor Sie live mit meiner website, ich habe einige Gedanken über Sicherheit: Diese Frage ist über das Verständnis der Verarbeitung in PHP und nicht danach strebt, eine Lösung bei der Absicherung der form. Betrachten Sie dieses barebone-Skript,

CAC-Smartcard-Authentifizierung

Anzahl der Antworten 3 Antworten
Haben wir eine browser-basierte Anwendung, wo wir wollen, dass die Benutzer sich erneut authentifizieren, wenn Sie es betreten. Also, wenn Sie zugreifen, die URL, die wir wollen, dass Sie präsentiert werden mit der PIN-Abfrage, so dass Sie

Wie die Umsetzung Berechtigungsprüfungen in ASP.NET MVC basiert auf Session-Daten?

Anzahl der Antworten 4 Antworten
Das wird meine erste ASP.NET MVC-Anwendung mit Formularen-Authentifizierung so versuche ich sicherzustellen, dass ich nichts verpasse. Das Szenario ist dies: Public /Gesicherten Bereichen. Im privaten Bereich ist es sogar noch weiter eingeschränkt auf bestimmte Bereiche /Benutzer. Diese

Spring Security: Authentifizierung, wird null zurückgegeben

Anzahl der Antworten 4 Antworten
Ich konfiguriert haben, ein Spring-bean wie folgt vor, um wieder eine SecurityContext: <bean id="securityContext" class="org.springframework.security.context.SecurityContextHolder" factory-method="getContext"> </bean> Wenn ich diese bean das Authentication-Objekt liefert null zurück. Authentication authentication = securityContext.getAuthentication(); GrantedAuthority authorities = authentication.getAuthorities(); In der zweiten

schützen Java Anwendung von Lizenz-oder Schlüssel

Anzahl der Antworten 3 Antworten
Möchte ich eine desktop-Anwendung, die läuft nur auf Rechnern, die über Schlüssel oder Lizenz. Wie dies erreicht werden kann? Ist eine online-Prüfung (z.B. bei jedem Start) eine option? Ja, ich denke, Ihre app wird wahrscheinlich geknackt werden,

Brute-force - /DoS-Prävention in PHP

Anzahl der Antworten 5 Antworten
Ich versuche ein Skript schreiben, um zu verhindern, dass brute-force-login-versuche in eine website, die ich Baue. Die Logik geht ungefähr so: Benutzer sendet login-Daten. Überprüfen Sie, ob Benutzername und Passwort korrekt ist Wenn ja, lassen Sie Sie

Autorisierung und Benutzer-Rollen in Oracle Apex?

Anzahl der Antworten 3 Antworten
Also Apex hat "workspaces", mit denen Sie Benutzer erstellen, von drei Typen, die interne Organisation in der Natur. Es scheint auch keine Möglichkeit für einen Entwickler, der eine individuelle Website auf der Spitze zu haben "Benutzer" nur

Darüber, wie schnell können Sie brute-force-PBKDF2?

Anzahl der Antworten 4 Antworten
Nach dem linkedin-Passwort-hash Leck, habe ich unser Passwort-hashing. Wir verwenden Django 1.4 verwendet PBKDF2, das ist toll und ein Schritt aus dem vorherigen SHA1. Aber ich bin gespannt wie leicht könnte man brute-force, die. Ich freue mich

Wie bekomme ich javax.crypto-Klassen wie javax.crypto.Chiffre arbeiten auf ein servlet mit jboss?

Anzahl der Antworten 2 Antworten
Meine Anwendung überprüft, eine Lizenz-Datei, um für Sie zu arbeiten. Dies geschieht durch Aufruf von javax.crypto.- Chiffre.getInstance("DES","SunJCE") inorder zu entziffern, die Lizenz-Schlüssel-Datei. Wenn ich meine Anwendung lokal funktioniert alles wunderbar aber wenn ich die Bereitstellung der Anwendung

Wie sichern Sie die JavaScript-API Access Token?

Anzahl der Antworten 4 Antworten
Gibt es zahlreiche online-Ressourcen, die JavaScript-APIs für den Zugriff auf Ihre Dienste. Um deutlicher zu sein, werde ich meine Frage am Beispiel von MapBox, aber das gilt auch für viele andere Dienstleistungen in verschiedenen Bereichen an. Wenn

Nutzung von JavaScript eval () - Methode

Anzahl der Antworten 2 Antworten
Viele Entwickler glauben, dass JavaScript eval() Methode sollte vermieden werden. Diese Idee macht Sinn, aus einer design-Perspektive. Es wird Häufig verwendet, als ein hässlicher workaround, wenn eine einfachere, bessere Möglichkeit zur Verfügung steht. Aber ich verstehe nicht

Warum sollte die überprüfung ein Falsches Passwort länger als die überprüfung der richtige?

Anzahl der Antworten 12 Antworten
Dieser Frage beunruhigt mich. Unter Linux, wenn nach einem Passwort gefragt, wenn Sie Ihre Eingabe korrekt ist, überprüft er sofort, mit fast keiner Verzögerung. Aber auf der anderen Seite, wenn Sie geben ein Falsches Passwort eingegeben, es