タグ付けされた質問 「security」

開発にはOracleを使用しています。データベースの再構築に常に使用するブートストラップアカウントのパスワードの有効期限が切れています。 このユーザー（および他のすべてのユーザー）のパスワードの有効期限を永久にオフにするにはどうすればよいですか？ デフォルトでパスワードの有効期限が切れているOracle 11gを使用しています。

177 oracle  security 

私が使用しているMVCアプリケーションの各ページは、応答に次のHTTPヘッダーを設定します。 X-Powered-By: ASP.NET X-AspNet-Version: 2.0.50727 X-AspNetMvc-Version: 2.0 これらが表示されないようにするにはどうすればよいですか？

176 asp.net-mvc  security  http-headers 

ユーザーを取得して表示できるパスワードを保存するアプリケーションを作成しています。パスワードはハードウェアデバイス用なので、ハッシュをチェックすることは問題外です。 私が知る必要があるのは： PHPでパスワードを暗号化および復号化するにはどうすればよいですか？ パスワードを暗号化する最も安全なアルゴリズムは何ですか？ 秘密鍵はどこに保存しますか？ 秘密鍵を保存する代わりに、パスワードを復号化する必要があるときはいつでもユーザーに秘密鍵の入力を要求するのは良い考えですか？（このアプリケーションのユーザーは信頼できます） パスワードはどのように盗まれ、解読されますか？何に注意する必要がありますか？

174 php  security  encryption  passwords 

セキュリティフレームワークのコンテキストでは、サブジェクト、ユーザー、プリンシパルなどのいくつかの用語が一般的に使用されますが、明確な定義とそれらの違いを見つけることができませんでした。 だから、正確にこれらの用語の意味を行うと、なぜこれらの区別されている主題とプリンシパルが必要？

173 java  spring-security  terminology  security 

この質問が今後の訪問者を助けることはほとんどありません。それは小さな地理的領域、特定の瞬間、またはインターネットの世界中のオーディエンスには一般的に適用できない非常に狭い状況にのみ関連しています。この質問をより広く適用できるようにするには、ヘルプセンターにアクセスしてください。 7年前休業。 reCAPTCHAを打ち破るためにプログラミング手法が使用されましたか？ 私は、特にreCAPTCHAが完全に自動化された人のいない方法によって時代遅れになっている証拠と潜在的なデモンストレーションを見ることに興味があります。 明確にするために、CAPCHA、ポルノを求める人、またはメカニカルタークの入力をチームが担当するかどうかに関係なく、人間を含むreCAPTCHAの不正行為ソリューションを探すのではなく、 また、動物の種類や背景フィールド、JavaScriptのトリックなど、reCAPTCHAに代わるものを探していません。

172 security  captcha  ocr  recaptcha 

準備されたステートメントは、SQLインジェクション攻撃の防止にどのように役立ちますか？ ウィキペディアは言う： 後で別のプロトコルを使用して送信されるパラメーター値を正しくエスケープする必要がないため、準備されたステートメントはSQLインジェクションに対して回復力があります。元のステートメントテンプレートが外部入力から派生していない場合、SQLインジェクションは発生しません。 その理由がよくわかりません。簡単な英語での簡単な説明といくつかの例は何でしょうか？

172 sql  security  sql-injection  prepared-statement 

これは単純なMD5よりもはるかに安全ですか？パスワードのセキュリティについて調べ始めたところです。PHPは初めてです。 $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); #header("Location: ./"); echo …

169 php  security  passwords  salt  password-hash 

多くの検索を行い、PHPの$ _SERVERドキュメントも読みました。私のサイト全体で使用されている単純なリンク定義のPHPスクリプトに何を使用するかについて、この権利はありますか？ $_SERVER['SERVER_NAME'] これは、Webサーバーの構成ファイル（私の場合はApache2）に基づいており、（1）VirtualHost、（2）ServerName、（3）UseCanonicalNameなどのいくつかのディレクティブによって異なります。 $_SERVER['HTTP_HOST'] クライアントからのリクエストに基づいています。 したがって、私のスクリプトをできるだけ互換性のあるものにするために使用する適切なものは、私には思えます$_SERVER['HTTP_HOST']。この仮定は正しいですか？ フォローアップコメント： この記事を読んだ後、私は少し偏執狂になったと思いますが、一部の人々は「彼らはどの$_SERVER変数も信用しないだろう」と述べました： http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/ http://php.net/manual/en/reserved.variables.server.php#89567（コメント：Vladimir Kornea 14-Mar-2009 01:06） どうやら議論は主に$_SERVER['PHP_SELF']、なぜXSS攻撃を防ぐために適切にエスケープせずにフォームアクション属性でそれを使用すべきでないかについてです。 上記の私の元の質問についての私の結論は$_SERVER['HTTP_HOST']、フォームで使用されている場合でも、XSS攻撃を心配する必要なく、サイト上のすべてのリンクに使用しても「安全」であるということです。 私が間違っていたら訂正してください。

167 php  apache  security  owasp 

Javaで暗号的に強力な乱数が必要な場合は、を使用しますSecureRandom。残念ながら、SecureRandom非常に遅くなる可能性があります。/dev/randomLinux で使用する場合、十分なエントロピーが増加するのを待つことをブロックできます。パフォーマンスの低下をどのように回避しますか？ 誰かがこの問題の解決策としてアンコモン数学を使用しましたか？ このパフォーマンスの問題がJDK 6で解決されたことを誰かが確認できますか？

165 java  performance  security  random  entropy 

空のHTTP_REFERERを取得することは可能です。これはどのような状況で起こりますか？空のものを取得した場合、それは常にユーザーが変更したことを意味しますか？空のものを取得することは、空のものを取得することと同じですか？そして、どのような状況で私もそれを得るのですか？

163 security  http  http-headers  cross-domain  http-referer 

ログインページをやっています。パスワード用のUITextFieldがあります。 明らかに、私はパスワードを見られたくない。代わりに、入力時にサークルを表示します。これを行うためのフィールドをどのように設定しますか？

162 ios  swift  iphone  security  ipad 

パスワードに最小の長さを課すことは（ユーザーを自分自身から保護するために）意味があると理解できますが、私の銀行ではパスワードの長さが6〜8文字である必要があるため、疑問に思い始めました... これはブルートフォース攻撃を簡単にするだけではないでしょうか？（悪い） これは私のパスワードが暗号化されずに保存されていることを意味しますか？（悪い） （うまくいけば）彼らのために働いている優れたITセキュリティ専門家がいる誰かがパスワードの最大長を課している場合、私は同様のことを考えるべきですか？これの長所/短所は何ですか？

162 security  encryption  passwords 

MVC 5とASP.NET Identity Frameworkに付属するUserManagerにデフォルトで実装されているPassword Hasherが十分に安全かどうか疑問に思っています。もしそうなら、それがどのように機能するかを私に説明できますか？ IPasswordHasherインターフェイスは次のようになります。 public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } ご覧のように、ソルトは使用しませんが、このスレッドで言及されています： " Asp.net Identity password hashing "は、バックグラウンドでソルトを実行します。それで、これはどのように行われるのでしょうか？そして、この塩はどこから来たのですか？ 私の懸念は、塩が静的であり、非常に安全ではないことです。

162 c#  asp.net  security  passwords  asp.net-identity 

私は最近Dockerを試してみて、いじくり回るいくつかのサービスを構築しています。そして、私を悩ませ続けている1つのことは、Dockerfileにパスワードを入力することです。私は開発者なので、パスワードをソースに保存することは、まるでパンチのように感じられます。これも懸念すべきでしょうか？Dockerfilesでパスワードを処理する方法に関する良い規則はありますか？

162 security  build  docker 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 6年前休業。 この質問を改善する 私の製品には、ASP.NET、Windowsフォームアプリ、Windowsサービスなど、いくつかのコンポーネントがあります。コードの95％程度がVB.NETで記述されています。 知的財産上の理由から、コードを難読化する必要があります。これまで、5年以上前のバージョンのdotfuscatorを使用しています。新しい世代のツールに移行する時がきたと思います。私が探しているのは、新しい難読化ツールを検索するときに考慮する必要がある要件のリストです。 私がこれまでに探す必要があると知っていること： シリアライゼーション/デシリアライゼーション。私の現在のソリューションでは、以前にシリアル化されたデータを読み込めないという苦痛が大きすぎるため、ツールにクラスデータメンバーを難読化しないように指示しています。 ビルドプロセスとの統合 ASP.NETでの作業。過去に、.dll名の変更（多くの場合、ページごとに1つある）が原因でこの問題が発生することがわかりました。

160 .net  security  obfuscation