タグ付けされた質問 「security」

Androidアプリで画面記録を防ぐことはできますか？ Android Secure Applicationを開発したいのですが。その中で、バックグラウンドで実行されている画面記録ソフトウェアを検出して殺す必要があります。スクリーンショットを防ぐためにSECURE FLAGを使用しました。しかし、Android画面のビデオキャプチャを防止することも可能かどうかはわかりません。画面キャプチャ（ビデオ/スクリーンショット）を防ぐ方法を教えてください。

118 android  security  screenshot  snapshot  screen-capture 

パスワードのハッシュを電話に保存したいのですが、方法がわかりません。暗号化の方法しか見つけられないようです。パスワードはどのように適切にハッシュされるべきですか？

117 c#  security  hash  passwords  windows-phone-7 

本日、Webアプリでの入力検証戦略について質問がありました。 トップの答えは、執筆時点で、中に示唆するPHPだけで使用するhtmlspecialcharsとmysql_real_escape_string。 私の質問は、これは常に十分ですか？知っておくべきことがもっとありますか？これらの機能はどこで壊れますか？

116 php  security  xss  sql-injection 

ログイン画面でユーザーがユーザー名とパスワードを使用してフォームを送信すると、パスワードはプレーンテキストで送信されます（POSTを使用していても、間違っている場合は修正してください）。 それで問題は、通信データを盗聴している可能性のある第三者からユーザーとそのパスワードを保護する正しい方法は何ですか？ HTTPSが問題の解決策であることは承知していますが、標準のHTTPプロトコル（POSTリクエスト）を使用して、少なくともある程度のセキュリティを確保する方法はありますか？（おそらくJavaScriptを何らかの方法で使用しています） 編集 私はいくつかの重要なことを省いたかもしれません。 私が言っていたのはページでした。つまり、PHPで生成されたログインページです。もちろん、HTTP GETリクエストでHTMLファイルとしてユーザーに送信されます。サーバーとクライアントの間に（@Jeremy Powel）接続が確立されていないため、このようなハンドシェイクプロトコルを作成できません。そして、私は完全なプロセスがユーザーに透過的であることを望みます-彼は暗号を扱うのではなく、パスワードを提出したいと考えています。 ありがとう。

115 security  http  encryption  passwords  plaintext 

java.securitymy のファイルJREを見ると、デフォルトで使用するキーストアタイプがに設定されていることがわかりますJKS。ここでは、使用できるキーストアのタイプのリストがあります。 推奨されるキーストアタイプはありますか？さまざまなタイプのキーストアの長所/短所は何ですか？

115 java  security  ssl  jsse 

次のエラーが発生します。 XMLHttpRequest cannot load file:///C:/Users/richa.agiwal/Desktop/get/rm_Library/templates/template_viewSettings.html. Cross origin requests are only supported for HTTP. この質問には以前に回答したことがあると思いますが、まだ問題の解決策を見つけていません。chrome.exe --allow-file-access-from-filesコマンドプロンプトから実行しようとし、ファイルをローカルファイルシステムに移動しましたが、それでも同じエラーが発生します。 私は提案を感謝します！

113 security  google-chrome 

私が（組み込みのを使用して）URLいるとき、ブラウザのアドレスバーから新しいものをテストするたびに、同じ古いエラーが発生しています。returning JsonMVC JsonResult helper 機密情報がで使用されると、第三者のWebサイトに開示される可能性があるため、このリクエストはブロックされましたGET request。を許可するにはGET requests、に設定JsonRequestBehaviorしAllowGetます。 今回は、承認でうなり声を上げてFiddlerを起動して投稿リクエストを実行するのではなく、GETリクエストが公開POSTしないのがリクエストであるとはどういうことなのでしょうか。

112 asp.net-mvc  json  security  http-post  http-get 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 昨年休業。 この質問を改善する （これは実際には独自の問題であり、NodeJSなどに固有ではないため、このスレッドから生成されます） 私は認証付きのREST APIサーバーを実装しています。ユーザーが/ loginエンドポイントを介してユーザー名/パスワードでログインできるように、JWTトークンの処理を正常に実装しました。このとき、サーバーシークレットからJWTトークンが生成され、クライアント。次に、トークンは、認証された各APIリクエストでクライアントからサーバーに渡され、サーバーシークレットを使用してトークンが検証されます。 ただし、本当に安全なシステムを作成するために、トークンを検証する方法と範囲を正確に確認するためのベストプラクティスを理解しようとしています。トークンの「検証」には、正確には何が必要ですか？サーバーシークレットを使用して署名を検証できれば十分ですか、それともサーバーに保存されている一部のデータに対してトークンやトークンペイロードをクロスチェックする必要がありますか？ トークンベースの認証システムは、ユーザーのパスワードを取得するよりもトークンを取得するのが同等または難しい場合に限り、各リクエストでユーザー名/パスワードを渡すのと同じくらい安全です。ただし、私が見た例では、トークンを生成するために必要な唯一の情報は、ユーザー名とサーバー側の秘密です。これは、悪意のあるユーザーが1分間サーバーシークレットの知識を得たと仮定すると、任意のユーザーに代わってトークンを生成できるため、パスワードがあった場合と同じように、特定のユーザーだけにアクセスできないことを意味します。取得しましたが、実際にはすべてのユーザーアカウントに対してですか。 これは私に質問をもたらします： 1）JWTトークンの検証は、トークン自体の署名の検証、サーバーシークレットの整合性のみに依存する、または個別の検証メカニズムを伴うものに限定する必要がありますか？ 場合によっては、/ loginエンドポイントを介したログインが成功するとセッションが確立されるトークンとサーバーセッションの組み合わせの使用を見てきました。APIリクエストはトークンを検証し、トークンにあるデコードされたデータをセッションに保存されている一部のデータと比較します。ただし、セッションを使用することはCookieを使用することを意味し、ある意味でトークンベースのアプローチを使用する目的に反します。また、特定のクライアントに問題を引き起こす可能性があります。 サーバーがmemcacheなどで現在使用中のすべてのトークンを保持していると想像できます。これにより、サーバーのシークレットが侵害され、攻撃者が「有効な」トークンを生成した場合でも、/ loginエンドポイントを介して生成された正確なトークンのみが生成されます。受け入れられます。これは合理的ですか、それとも冗長/過剰なものですか？ 2）JWT署名検証がトークンを検証する唯一の手段である場合、つまりサーバーシークレットの整合性がブレークポイントである場合、サーバーシークレットをどのように管理する必要がありますか？環境変数から読み取り、デプロイされたスタックごとに1回作成（ランダム化？）しますか？定期的に更新またはローテーションされます（その場合、ローテーション前に作成されたがローテーション後に検証する必要がある既存の有効なトークンを処理する方法。おそらく、サーバーが現在のシークレットと以前のシークレットを常に保持していれば十分です） ？他に何か？ サーバーシークレットが危険にさらされるリスクに関しては、私は単に過度に偏執的であるかもしれません。もちろん、これは、すべての暗号化の状況で対処する必要があるより一般的な問題です...

111 security  authentication  token  jwt  secret-key 

私は現在学生で、PHPを勉強しています。PHPで単純なデータの暗号化/復号化を試みています。私はいくつかのオンライン調査を行いましたが、それらのいくつかはかなり混乱していました（少なくとも私にとって）。 これが私がやろうとしていることです： これらのフィールド（UserID、Fname、Lname、Email、Password）で構成されるテーブルがあります。 私が欲しいのは、すべてのフィールドを暗号化してからsha256復号化することです（暗号化アルゴリズムでない場合でも、暗号化/復号化に使用できますか） 私が学びたいもう1つのことはhash(sha256)、良い「塩」と組み合わせた一方向を作成する方法です。（基本的に、暗号化/復号化、hash(sha256)+salt) サー/奥様の単純な実装が欲しいだけです。あなたの答えは非常に役に立ち、非常に感謝されます。ありがとう++

110 php  security  encryption  cryptography  encryption-symmetric 

私は、Firefoxの同じ生成元ポリシーをオフにするように要求するローカルの調査ツールを開発しています（スクリプトアクセスに関しては、クロスドメインリクエストについては特に気にしません）。 具体的には、ホストドメインのスクリプトが、ドメインに関係なく、ページに埋め込まれたiframe内の任意の要素にアクセスできるようにしたいと考えています。 CORS FF拡張機能について言及した以前のQ＆Aは知っていますが、それはCORSのみを許可し、スクリプトアクセスは許可しないため、私が必要とするものではありません。 簡単に実行できない場合は、FFを再コンパイルできるようにSOPを無効にするために変更できるFF srcコードの特定の部分を指摘する洞察もいただければ幸いです。

110 security  firefox  same-origin-policy 

ほとんどのサイトがパスワードをプレーンテキストとしてHTTPS経由でサーバーに送信していることに気付きました。その代わりにパスワードのハッシュをサーバーに送信した場合、何か利点はありますか？より安全でしょうか？

110 security  authentication  login  https 

休業。この質問には、より焦点を当てる必要があります。現在、回答を受け付けていません。 この質問を改善してみませんか？質問を更新して、この投稿を編集するだけで1つの問題に焦点を当てます。 2年前休業。 この質問を改善する この言葉は最近、ほとんどすべてのクロスサービスアプリケーションで見られます。 APIキーとは正確には何で、その用途は何ですか？ また、公開APIキーと秘密APIキーの違いは何ですか。

109 api  security  terminology  api-key 

私はいくつかのアプリケーションをrails、django（およびphpの少し）で扱っています。それらのいくつかで始めたのは、特定の構成ファイルにプレーンテキストではなくデータベースと他のパスワードを環境変数として保存することです（または、djangoアプリの場合は、settings.pyにあります。 これを私の協力者の1人と議論する際に、彼はこれは不適切な慣行であると示唆しました-おそらくこれは最初に思われるほど完全に安全ではないかもしれません。 それで、私は知りたいです-これは安全な習慣ですか？これらのファイルにパスワードをプレーンテキストとして保存する方が安全ですか（もちろん、これらのファイルを公開リポジトリなどに残さないようにしてください）。

109 ruby-on-rails  django  security  passwords  environment-variables 

Windows認証を使用してSQL Serverに接続する.netアプリケーションがあります。 アプリケーションでSQL Server認証を使用することはできません。私たちのプロジェクトには多くのActive Directoryユーザーがいます。したがって、ADユーザーごとに個別のログインアカウントを作成するのではなく、SQL Server内のActive Directoryユーザーごとに個別のログインアカウントを作成する必要があります。SQLServerでActive Directoryユーザーグループを使用する方法はありますか？

108 sql-server  sql-server-2008  security  authentication 

Firefoxでは、--disable-web-securityChromeで同等のことをするにはどうすればよいですか。これはたくさん投稿されましたが、本当の答えはありません。ほとんどはアドオンへのリンク（一部は最新のFirefoxで機能しないか、まったく機能しない）であり、「サーバーでサポートを有効にする必要があるだけです」。 これはテストするための一時的なものです。セキュリティへの影響を知っています。 サーバーでCORSをオンにできません。特にlocalhostなどを許可することはできません。 フラグ、設定、または何かはプラグインよりもはるかに優れています。私も試してみました：http : //www-jo.se/f.pfleger/forcecors、しかし私のリクエストは完全に空として返されるので何かが間違っているはずですが、Chromeの同じリクエストは正常に返されます。 繰り返しますが、これは、prodにプッシュする前のテストのためのものであり、その場合、許容可能なドメイン上にあります。

108 security  firefox  cross-domain  cors