タグ付けされた質問 「security」

HTTPS経由でデータを送信するとき、コンテンツが暗号化されていることを知っていますが、ヘッダーが暗号化されているかどうか、またはヘッダーのどの程度が暗号化されているかについて、さまざまな答えが聞こえます。 どのくらいのHTTPSのヘッダーをされています暗号化されますか？ GET / POSTリクエストURL、Cookieなどを含みます。

600 security  post  encryption  https  get 

<iframe>HTMLページにを読み込んで、JavaScriptを使用してページ内の要素にアクセスしようとしていますが、コードを実行しようとすると、次のエラーが発生します。 SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame. フレーム内の要素にアクセスできるように、解決策を見つけるのを手伝っていただけませんか？ 私はこのコードをテストに使用していますが、無駄です： $(document).ready(function() { var iframeWindow = document.getElementById("my-iframe-id").contentWindow; iframeWindow.addEventListener("load", function() { var doc = iframe.contentDocument || iframe.contentWindow.document; var target = doc.getElementById("my-target-id"); target.innerHTML = "Found it!"; }); });

556 javascript  jquery  security  iframe  same-origin-policy 

eval関数は、コードを動的に生成するための強力で簡単な方法なので、警告は何ですか？

534 javascript  security  eval 

統合セキュリティを使用するアプリが2つあります。1つIntegrated Security = trueは接続文字列に割り当て、もう1つはに割り当てますIntegrated Security = SSPI。 統合セキュリティSSPIとの違いは何trueですか？

531 sql-server  security  connection-string  database-security 

トークンベースの認証の意味を知りたい。インターネットを検索しましたが、理解できるものが見つかりませんでした。

515 security  authentication  token  http-token-authentication 

休業。この質問には、より焦点を当てる必要があります。現在、回答を受け付けていません。 この質問を改善してみませんか？質問を更新して、この投稿を編集するだけで1つの問題に焦点を当てます。 4年前休業。 ユーザーがクリックできるチェックボックスをウェブサイトに設定して、ユーザーが私のウェブサイトにアクセスするたびにログインする必要がないようにします。これを実装するには、自分のコンピュータにCookieを保存する必要があることはわかっていますが、そのCookieには何を含める必要がありますか？ また、このCookieがセキュリティの脆弱性を示さないようにするために注意すべき一般的な間違いはありますか？

510 security  cookies  remember-me 

ハッシュと暗号化アルゴリズムの間に多くの混乱が見られます。次のことについて、より専門的なアドバイスを聞きたいです。 ハッシュと暗号化を使用する場合 ハッシュまたは暗号化アルゴリズムを（理論的/数学的なレベルから）異なるもの、つまりハッシュを不可逆にするもの（レインボーツリーの助けなし） 以下は、私が探していたほど詳細に説明しなかったいくつかの同様の SO質問です。 難読化、ハッシュ、暗号化の違いは何ですか？ 暗号化とハッシュの違い

509 security  encryption  hash  cryptography 

新しいREST APIにJWTベースの認証を実装したいと思います。しかし、有効期限はトークンに設定されているので、自動的に延長することは可能ですか？ユーザーがその期間にアプリケーションをアクティブに使用している場合、X分ごとにサインインする必要がないようにしたい。それは大きなUXの失敗です。 ただし、有効期限を延長すると新しいトークンが作成されます（古いトークンは有効期限が切れるまで有効です）。そして、各リクエストの後に新しいトークンを生成することは、私にはばかげているように思えます。複数のトークンが同時に有効な場合、セキュリティの問題のように聞こえます。もちろん、ブラックリストを使用して古いものを無効にすることもできますが、トークンを保存する必要があります。また、JWTの利点の1つはストレージがないことです。 Auth0がそれを解決する方法を見つけました。JWTトークンだけでなく更新トークンも使用します：https : //docs.auth0.com/refresh-token しかし、これも（Auth0なしで）これを実装するには、リフレッシュトークンを保存し、有効期限を維持する必要があります。では、本当のメリットは何ですか？（JWTではなく）トークンを1つだけ使用して、サーバーで有効期限を維持しないのはなぜですか？ 他のオプションはありますか？JWTの使用はこのシナリオに適していませんか？

509 node.js  api  security  authentication  jwt 

現在のところ、この質問はQ＆A形式には適していません。事実、参考文献、専門知識によって回答が裏付けられることを期待していますが、この質問は、討論、議論、投票、または拡張ディスカッションを求める可能性があります。この質問を改善でき、再開できると思われる場合は、ヘルプセンターにアクセスしてください。 8年前に閉鎖。 認証（ユーザー名とパスワード）が必要なプロジェクトに取り組んでいます また、データベースに接続するので、ユーザー名とパスワードをそこに保存すると思いました。ただし、データベース上にあるテーブルの単なるテキストフィールドとしてパスワードを設定するのは、あまり良い考えではないようです。 C＃を使用して、2008 Expressサーバーに接続しています。このタイプのデータを保存する最良の方法は何ですか（可能な限り多くの例を使用して）誰でも提案できますか？ PS正当な理由が提供できる場合、この情報はデータベースに保存されないという考えを受け入れます

475 database  security  passwords 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 3年前休業。 私はIT学生で、大学3年生です。これまで、コンピューターに関連する多くのテーマ（プログラミング、アルゴリズム、コンピューターアーキテクチャ、数学など）を研究してきました。 誰もがセキュリティについてすべてを学ぶことができないと確信していますが、すべてのプログラマーまたはIT学生がそれについて知っておくべき「最低限」の知識があり、私の質問はこの最低限の知識は何ですか？ 電子書籍やコースなど、この道を始めるのに役立つ何かを提案できますか？

427 security 

政府の医療機関で働く喜びの1つは、PHI（保護された健康情報）の扱いに関するパラノイアのすべてに対処しなければならないことです。誤解しないでください。私はすべての人の個人情報（健康、経済、サーフィンの習慣など）を保護するために可能な限りのことをしますが、時々人々は少しびくびくしています。 適例：ある州の顧客の1人が、パスワードを保存するための便利な機能がブラウザーに備わっていることを最近知りました。それはしばらくの間存在し、完全にオプションであり、使用するかどうかの賢明な決定であるかどうかを決定するのはエンドユーザー次第であることは誰もが知っています。ただし、現時点では多少の騒動があり、サイトでその機能を無効にする方法を見つけることが求められています。 質問：サイトがブラウザにパスワードを記憶させないように指示する方法はありますか？私は長い間Web開発に携わってきましたが、これまでに遭遇したことはありません。 どんな助けでもありがたいです。

423 security  browser  autocomplete  passwords 

現在のところ、この質問はQ＆A形式には適していません。事実、参考文献、専門知識によって回答が裏付けられることを期待していますが、この質問は、討論、議論、投票、または拡張ディスカッションを求める可能性があります。この質問を改善でき、再開できると思われる場合は、ヘルプセンターにアクセスしてください。 8年前に閉鎖。 ロックされています。質問はトピックから外れていますが、歴史的に重要であるため、この質問とその回答はロックされています。現在、新しい回答や相互作用を受け入れていません。 今まで見た中で最悪のセキュリティホールは何ですか？有罪を保護するために詳細を限定しておくことはおそらく良い考えです。 何それの価値については、こちらです質問あなたはセキュリティホールを見つけた場合はどうするかについては、と別の会社が応答（ように見える）しない場合、いくつかの有用な答え。

413 security 

PHPアプリケーションがデータベース接続を確立するときは、もちろんログインとパスワードを渡す必要があります。アプリケーションに単一の最小権限のログインを使用している場合、PHPはそのログインとパスワードをどこかに知っている必要があります。そのパスワードを保護する最良の方法は何ですか？PHPコードでそれを書くだけでは良い考えではないようです。

404 php  database  security 

別のプロセスを生成するWindowsサービスを作成しました。このプロセスにより、COMオブジェクトが作成されます。サービスが「ローカルシステム」アカウントで実行される場合、すべてが正常に機能しますが、サービスが「ネットワークサービス」アカウントで実行される場合、外部プロセスは起動しますが、COMオブジェクトの作成に失敗します。COMオブジェクトの作成から返されるエラーは、標準のCOMエラーではありません（作成中のCOMオブジェクトに固有のエラーだと思います）。 では、「ローカルシステム」と「ネットワークサービス」の2つのアカウントの違いをどのように判断すればよいですか？これらのビルトインアカウントは非常に神秘的で、誰もそれらについてあまり知らないようです。

386 windows  security 

なぜJson Request Behavior必要なのですか？ HttpGetリクエストを自分のアクションに制限したい場合は、[HttpPost]属性でアクションを装飾できます 例： [HttpPost] public JsonResult Foo() { return Json("Secrets"); } // Instead of: public JsonResult Foo() { return Json("Secrets", JsonRequestBehavior.AllowGet); } なぜ[HttpPost]十分ではないのですか？ なぜフレームワークは、私たちが持ってJsonRequestBehavior.AllowGetいるすべてのforで「バグ」を引き起こしJsonResultます。getリクエストを拒否する場合は、HttpPost属性を追加します。

384 c#  .net  asp.net-mvc  asp.net-mvc-3  security