タグ付けされた質問 「security」

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 2年前休業。 この質問を改善する オフラインで長期間機能するWebアプリケーションを開発する必要があります。これを実行可能にするために、機密データ（個人データですが、ハッシュ化して保存するだけの種類のデータではありません）をローカルストレージに保存することは避けられません。 これは推奨される方法ではないことを受け入れますが、データを保護するために次のようにしています。 スタンフォードのjavascript暗号ライブラリとAES-256を使用して、ローカルストレージに入るすべてのものを暗号化する ユーザーパスワードは暗号化キーであり、デバイスに保存されていません sslを介して単一の信頼されたサーバーから（オンラインのときに）すべてのコンテンツを提供する owasp antisamyプロジェクトを使用して、サーバーのローカルストレージとの間のすべてのデータを検証する *を使用せずにappcacheのネットワークセクションで、信頼されたサーバーとの接続に必要なURIのみを一覧表示する 一般に、OWASP XSSチートシートで提案されているガイドラインを適用しようとする 私は悪魔がしばしば詳細にあることを感謝し、ローカルストレージとJavaScriptベースのセキュリティ全般について多くの懐疑論があることを知っています。誰もが存在するかどうかについてコメントできますか： 上記のアプローチの根本的な欠陥？ そのような欠陥の可能な解決策はありますか？ html 5アプリケーションが長期間オフラインで機能する必要がある場合にローカルストレージを保護するより良い方法はありますか？ 助けてくれてありがとう。

160 html  security  local-storage  html5-appcache  owasp 

私はクッキーベースの認証を知っています。SSLおよびHttpOnlyフラグを適用して、Cookieベースの認証をMITMおよびXSSから保護できます。ただし、CSRFから保護するには、さらに特別な対策が必要になります。それらは少し複雑です。（参考） 最近、JSON Web Token（JWT）が認証のソリューションとして非常にホットであることを発見しました。JWTのエンコード、デコード、および検証について知っています。ただし、JWTを使用している場合に、一部のWebサイト/チュートリアルでCSRF保護が不要であると説明されている理由がわかりません。私はかなりたくさん読んで、以下の問題を要約しようとします。私は、誰かがJWTの全体像を提供し、JWTについて誤解している概念を明確にしてほしいと思っています。 JWTがCookieに格納されている場合、サーバーがCookie /トークンを検証するためのセッションを必要としないことを除いて、Cookieベースの認証と同じだと思います。特別な対策が講じられていない場合、CSRFには依然としてリスクがあります。JWTはCookieに保存されませんか？ JWTがlocalStorage / sessionStorageに格納されている場合、Cookieがないため、CRSFから保護する必要はありません。問題は、JWTをサーバーに送信する方法です。ここで見つけたのは、jQueryを使用してajaxリクエストのHTTPヘッダーでJWTを送信することです。それで、ajaxリクエストだけが認証を行うことができますか？ また、「Authorization header」と「Bearer」を使用してJWTを送信するブログショーがもう1つ見つかりました。私はブログが話している方法を理解していません。誰かが「Authorizationヘッダー」と「Bearer」についてもっと説明してもらえますか？これにより、JWTはすべてのリクエストのHTTPヘッダーによって送信されますか？はいの場合、CSRFはどうですか？

159 security  authentication  cookies  csrf  jwt 

SECRET_KEYジャンゴでの正確な意味は何ですか？私はいくつかのグーグル検索をして、ドキュメント（https://docs.djangoproject.com/en/dev/ref/settings/#secret-key）をチェックアウトしましたが、これについてのより詳細な説明を探していました、そしてそれが必要な理由。 たとえば、キーが危険にさらされた場合/他の人がそれが何であるかを知っていた場合はどうなりますか？ありがとうございました。

157 python  django  security  encryption 

Visual Studioで新しいASP.NETアプリケーションを作成すると、いくつかのファイルとフォルダーが自動的に作成されます。これらのフォルダの1つはと呼ばれApp_Dataます。 また、メニューオプションを選択してWebサイトを公開する場合はBuild->Publish、チェックボックスを使用できますInclude files from the App_Data folder。 このファイルとそのサブフォルダーに配置されたファイルがWeb経由でアクセスできないことを想定していますか？たとえば、アプリケーションコードでのみ使用する予定のリソースをそのフォルダーに配置しても安全ですか？ App_Dataフォルダの実際の使用目的は何ですか？ 編集： たくさんの回答ありがとうございます。これまでに受け取った回答から、私は主に次の2つの点に関心があります。 App_Dataは基本的に、ファイルベースのデータストアのストレージポイントです。 これはWebで表示できないようにする必要があり、Webアプリがデータを格納してそこから読み取る場所です 誰かが「Webで表示できない」ことを保証する方法を指定できますか？標準の展開を実行するときにその事実に依存できますか、それともサーバーのIIS設定も確認する必要がありますか？ アプリケーションからのみアクセスできるようにする一連のpdfファイルがある場合。App_Dataフォルダーを使用するのに適切な場所でしょうか、それとも別のフォルダーを作成し、手動でIISを設定してWebからアクセスできないようにする必要がありますか？

156 asp.net  .net  visual-studio  security  app-data 

それ以外に System.Stringを作成してSecureStringのセキュリティを解除することに関するすべての予約は、どうすれば実行できますか？ 通常のSystem.Security.SecureStringをSystem.Stringに変換するにはどうすればよいですか？ SecureStringに精通している多くの方は、SecureStringを通常の.NET文字列に変換しないでください。これにより、すべてのセキュリティ保護が削除されるためです。 私が知っています。しかし、今のところ、私のプログラムはとにかく通常の文字列ですべてを行います。私はそのセキュリティを強化しようとしています。私にSecureStringを返すAPIを使用するつもりはありませんが、。 Marshal.SecureStringToBSTRは知っていますが、そのBSTRを取得してSystem.Stringを作成する方法がわかりません。 なぜ私がこれをしたいのかを知りたいと思っている人のために、ユーザーからパスワードを取得し、それをHTMLフォームPOSTとして送信して、ユーザーをWebサイトにログインさせます。したがって、これは実際には、管理された暗号化されていないバッファーで行う必要があります。管理されていない、暗号化されていないバッファにアクセスできたとしても、ネットワークストリームにバイト単位のストリーム書き込みを行うことができ、それによってパスワードが安全に保たれることを願っています。これらのシナリオの少なくとも1つに対する回答を期待しています。

156 c#  .net  security  encryption 

.pfx（個人情報交換）ファイルを.cer（セキュリティ証明書）ファイルに変換できますか？誤解しない限り、.cerは.pfxの中に埋め込まれているのではないですか？可能であれば、何らかの方法で抽出したいのですが。

155 security  certificate  pfx 

JACCプロバイダーを書いています。 途中で、これはの実装を意味しPolicyConfigurationます。 PolicyConfigurationパーミッションがどのロールに生ずるようなどのように、アプリケーションサーバから構成情報を受け付けるための責任があります。これは、現在のユーザーと彼が何をしようとしているのかについての情報Policyが渡されたときに、後で承認の決定を行うことができるようにするためです。 ただし、PolicyConfiguration役割とその権限との間のマッピングを維持し、Principalsそれらをそれらの役割に割り当てることは、の（残虐な）契約の一部ではありません。 通常、常に、実際には、アプリケーションサーバーがこのマッピングを格納します。たとえば、Glassfishでは、Java EEモジュールなどsun-web.xmlを提供することによって、このマッピングに影響を与えsun-ejb-jar.xmlます。（これらのベンダー固有のファイルは、たとえば、superusersのアプリケーションロールが割り当てられるグループであることを伝える責任がありadminsます。） これらのファイルが提供する機能を再利用したいのですが、できるだけ幅広いアプリケーションサーバーで使用したいと考えています。 これは-完全に恣意的-この問題に対するIBMの見解です。これは、私がしたいことは本質的に不可能であるという私の疑念を裏付けるものです。（私の特定のJava EE契約は、それが印刷された紙に値しないという私の場合の弾薬はもっと多い。） 私の質問：初心者のために、GlassfishとJBossのこのプリンシパルからロールへのマッピング情報をどのように取得しPolicyConfigurationますか 私が知らない標準的な方法がある場合、私はすべての耳にしています。

154 security  jakarta-ee  glassfish  authorization  jacc 

現在のところ、この質問は、Q＆A形式には適していません。私たちは回答が事実、参考文献、専門知識によってサポートされることを期待しますが、この質問はおそらく議論、議論、投票、または拡張された議論を誘います。この質問が改善され、場合によっては再開できると思われる場合は、ヘルプセンターにアクセスしてください。 7年前休業。 「パスワードを忘れた」機能を実装するための最良の方法を探しています。 私は2つのアイデアを思い付きます： ユーザーがパスワードを忘れたをクリックすると、ユーザーはユーザー名、電子メール、そしておそらく生年月日または姓を入力する必要があります。その後、一時的なパスワードが記載されたメールがユーザーのメールアカウントに送信されます。ユーザーは一時パスワードを使用してログインし、パスワードをリセットします。 同様ですが、メールにはユーザーがパスワードをリセットできるリンクが含まれます。 または、誰かが私にもっと良い安全な方法を提案できますか？また、一時的なパスワードまたはリンクを送信し、ユーザーに24時間以内にパスワードをリセットするように強制します。そうしないと、一時的なパスワードまたはリンクが使用できなくなります。どうやってするか？

154 security  authentication  passwords  forgot-password 

私は基本的にデータベースに入れるフレーズを準備していますが、形式が正しくない可能性があるため、代わりに短いハッシュを保存します（存在するかどうかを単純に比較するので、ハッシュが理想的です）。 MD5は100,000以上のリクエストでかなり遅いと思うので、フレーズをハッシュするための最良の方法は何かを知りたかったのですが、おそらく自分のハッシュ関数をロールアウトするhash('md4', '...'か、結局はより高速になりますか？ MySQLにはMD5（）があることを知っているので、クエリの終了時に少し高速になりますが、MySQLにはさらに高速なハッシュ関数があり、PHPで動作することを知りません。

154 php  database  security  hash 

最初に、少し背景：CodeIgniterのauth + authシステムを実装していることは秘密ではありません。今のところ（いわば）勝っています。しかし、私はかなり非自明な課題に遭遇しました（ほとんどの認証ライブラリが完全に見逃していることを1が、私はそれを適切に取り扱うことを主張）：でインテリジェントに対処する方法を、可変ユーザ名ブルートフォース攻撃大規模分散します、。 私はいつものトリックをすべて知っています： IP /ホストごとの失敗した試行の数を制限し、攻撃者のアクセスを拒否する（例：Fail2Ban）- ボットネットがよりスマートに成長したため、これは機能しなくなりました 上記と、既知の「悪い」IP /ホスト（例：DenyHosts）のブラックリストを組み合わせる-これは、ボットネットが＃1に落ちることに依存しており、ボットネットはますますそうではありません 従来の認証と組み合わされたIP /ホストホワイトリスト（動的IPユーザーではほとんど役に立たず、ほとんどのWebサイトではチャーンが高くなります） N分/時間内に失敗した試行の数にサイト全体の制限を設定し、その後のすべてのログイン試行を数分/時間の間スロットリング（一時停止）します（DoS攻撃によるボットネットの子の遊びになります）。 ログイン/パスワードオプションなしのすべてのユーザーに対する必須のデジタル署名（公開鍵証明書）またはRSAハードウェアトークン（確かなソリューションですが、閉鎖的で専用のサービスに対してのみ実用的です） 強化された超強力なパスワードスキーム（例：記号を含む25を超える意味のない文字-繰り返しますが、カジュアルなユーザーには非現実的です） そして最後に、CAPTCHA（ほとんどの場合機能する可能性がありますが、ユーザーにとっては迷惑であり、断固としたリソースのある攻撃者に対して事実上役に立たない） さて、これらは理論的に実行可能なアイデアにすぎません。サイトを広く開放するようなごみのアイデアはたくさんあります（たとえば、些細なDoS攻撃に）。私が欲しいのはもっと良いものです。そしてもっといいことには、 DoS攻撃やブルートフォース攻撃に対して安全（+）である必要があり、ややこっそりしたボットがレーダーの下で動作し続ける可能性がある新しい脆弱性を導入しない 自動化する必要があります。人間のオペレーターが各ログインを確認したり、不審なアクティビティを監視したりする必要がある場合、実際のシナリオでは機能しません 主流のWeb使用（つまり、プログラマー以外のユーザーが実行できる大量のチャーン、大量のオープンな登録）に適している必要があります。 それは、カジュアルなユーザーがイライラしたりイライラしたりする（そして潜在的にサイトを放棄する）までユーザーエクスペリエンスを妨げることはできません。 本当に安全な子猫でなければ、子猫を巻き込むことはできません。 （+）「安全」とは、妄想的なユーザーがパスワードを秘密に保つ能力と同じくらい安全であることを意味します だから-それを聞いてみましょう！どうしますか？私が言及しなかったベストプラクティスを知っていますか（そう言ってください）。私は自分のアイデアを持っていることを認めます（3と4のアイデアを組み合わせたものです）が、私は本当の専門家に自分を困らせる前に話させます;-)

151 security  authentication  brute-force 

最近、oneplusone Webサイトhttps://account.oneplus.net/sign-upにサインアップしましたが、このチェックボックスが再キャプチャされていることに気付きました それはどのように機能し、自分のサイトでどのように使用できますか？これらの不可解な単語/数字よりもはるかに優れています:) recaptchaサイトでは、新しいrecaptchaメソッドについては言及されていません... https://www.google.com/recaptcha/intro/index.html

150 security  recaptcha 

Backbone.jsとTornado Webサーバーを使用しています。バックボーンでコレクションデータを受信するための標準的な動作は、JSON配列として送信することです。 一方、トルネードの標準的な動作は、次の脆弱性のためにJSON配列を許可しないことです。 http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx 関連するものは：http : //haacked.com/archive/2009/06/25/json-hijacking.aspx 実際にオブジェクトのリストである場合、JSONをオブジェクトにラップする必要がないのは自然なことです。 これらの攻撃を最新のブラウザー（つまり、現在のChrome、Firefox、Safari、IE9）で再現することはできませんでした。同時に、最新のブラウザがこれらの問題に対処したことをどこにも確認できませんでした。 プログラミングスキルの低下やグーグルスキルの低下の可能性によって誤解を招かないようにするには、次のようにします。 これらのJSONハイジャック攻撃は、今日のブラウザーでも依然として問題ですか？ （注：可能性のある重複して申し訳ありません：最近のブラウザで「JSONハイジャック」を実行することは可能ですか？ しかし、受け入れられた回答が質問に回答していないようです-もう一度質問して、いくつかの明確な説明を取得するときがきたと思いました。）

149 javascript  json  security  browser  tornado 

int func(char* str) { char buffer[100]; unsigned short len = strlen(str); if(len >= 100) { return (-1); } strncpy(buffer,str,strlen(str)); return 0; } このコードはバッファオーバーフロー攻撃に対して脆弱であり、私はその理由を理解しようとしています。の代わりにとlen宣言されていることに関係していると思いますが、本当にわかりません。shortint 何か案は？

148 c  security  buffer-overflow 

自己実行型（LAMPスタックなど）のWebアプリでGoogle認証システム（2要素認証）を使用するためのパブリックAPIはありますか？

146 security  authentication  google-oauth 

SQL Server 2008開発者版を使用しています。AdventureWorks2008データベースをアタッチしようとしていました。 添付しようとすると、「アクセスが拒否されました」というエラーが表示されました。イベントログによると、それはO / Sからのものです。 開くのに失敗しました：ファイル番号0のファイルD：\ ProjectData \ AdventureWorks \ AdventureWorksLT2008_Data.mdfを開けませんでした。OSエラー：5（アクセスが拒否されました。） 「NTFSの問題」だと思いましたが、システム（および私）は両方のファイルへの変更アクセス権を持っています。 saとしてログインすると、データベースを正常に接続できることがわかりましたが、ユーザーアカウントが機能しません。 私は自分のマシンのローカル管理者グループのメンバーであり、SQL Serverインスタンスのsysadminsロールに属しています。 なぜsaとしてログインしなければならなかったのですか？

146 sql-server  security  administration