タグ付けされた質問 「security」

データベースID（URLなど）を公開することはセキュリティ上のリスクであると聞きましたが、その理由を理解するのに苦労しています。 なぜリスクなのか、なぜそうでないのかについての意見やリンクはありますか？ 編集：もちろん、アクセスはスコープされています。たとえば、リソースfoo?id=123が表示されない場合、エラーページが表示されます。それ以外の場合、URL自体は秘密にする必要があります。 編集：URLが秘密である場合、おそらく、有効期間が限定された生成されたトークンが含まれます。たとえば、1時間有効で、一度しか使用できません。 編集（数か月後）：私が現在これを好む方法は、IDにUUIDSを使用して公開することです。IDとして（通常は一部のDBでのパフォーマンスのために）連続番号を使用している場合、各エントリのUUIDトークンを代替キーとして生成し、それを公開します。

133 database  security 

閉まっている。この質問はスタックオーバーフローのガイドラインを満たしていません。現在、回答を受け付けていません。 この質問を改善してみませんか？Stack Overflowのトピックとなるように質問を更新します。 2年前休業。 この質問を改善する 構成ファイルからサーバー情報を読み取るプログラムがあり、その構成でパスワードを暗号化して、自分のプログラムで読み取って復号化したいと考えています。 要件： ファイルに保存される平文パスワードを暗号化する プログラムからファイルから読み込まれた暗号化されたパスワードを解読する これを行う方法についての推奨事項はありますか？私は自分のアルゴリズムを書くことを考えていましたが、それはひどく危険だと思います。

130 java  security  encryption  configuration  cryptography 

Base64暗号化を取得できません。 Base64文字列を復号化できる場合、それは何の目的ですか？ なぜHTTP基本認証に使用されているのですか？ それは誰かに私のパスワードがOLLEHに逆になっていることを伝えるようなものです。 OLLEHを見た人は、元のパスワードがHELLOだったことがわかります。

129 security  encryption  base64 

私はモバイルアプリを作成していて、認証にJWTを使用しています。 これを行う最善の方法は、JWTアクセストークンと更新トークンをペアにして、アクセストークンを必要なだけ頻繁に期限切れにできるようにすることです。 更新トークンはどのようなものですか？ランダムな文字列ですか？その文字列は暗号化されていますか？別のJWTですか？ 更新トークンは、アクセスのためにユーザーモデルのデータベースに格納されますよね？この場合は暗号化する必要があるようです ユーザーのログイン後に更新トークンを送り返し、クライアントに別のルートにアクセスさせてアクセストークンを取得させますか？

129 security  authentication  oauth-2.0  jwt 

ODBC接続を作成するPythonスクリプトを取得しました。ODBC接続は、接続文字列を使用して生成されます。この接続文字列には、この接続のユーザー名とパスワードを含める必要があります。 このパスワードをファイル内で簡単に隠す方法はありますか（ファイルを編集しているときに誰もパスワードを読み取れないだけです）。

127 python  security 

どのように変換StringするのSecureStringですか？

127 c#  .net  security  securestring 

Scott OverselmanのStack Overflowチームへのインタビュー（パート1および2）を聞いた彼は、SQLサーバーとアプリケーションサーバーは別々のマシン上にあるべきだと断言しました。これは、一方のサーバーが危険にさらされた場合に両方のシステムにアクセスできないことを確認するためだけのものですか？2つのサーバーの複雑さ（追加コスト、2つのサーバー間の専用ネットワーク接続、より多くのメンテナンスなど）をセキュリティの懸念が上回っていますか？2台のサーバーがあり、1台のサーバーが危険にさらされていても、攻撃者はデータベースを削除したり、アプリケーションコードをいじったりして、深刻な被害を与える可能性があります。 パフォーマンスが問題ではないのに、なぜこれがそれほど大きな問題になるのでしょうか。

126 database  security  networking  infrastructure  hardware-infrastructure 

サーバーをセットアップしていて、SSL証明書がある場合、購入/ログインだけでなく、サイト全体にHTTPSを使用しないのはなぜですか？サイト全体を暗号化し、ユーザーを完全に保護するほうが理にかなっていると思います。これにより、すべてを保護するために何を保護する必要があるかを決定するなどの問題が回避され、ユーザーにとっては不便ではありません。 サイトの一部ですでにHTTPSを使用している場合、なぜそれをサイト全体で使用したくないのですか？ これは関連する質問です：httpsがログインにのみ使用されるのはなぜですか？、しかし答えは満足のいくものではありません。回答では、サイト全体にhttpsを適用できなかったと想定しています。

126 security  https 

ロックされています。質問はトピックから外れていますが、歴史的に重要であるため、この質問とその回答はロックされています。現在、新しい回答や相互作用を受け入れていません。 PHPで責任あるセッションセキュリティを維持するためのガイドラインは何ですか？Web全体に情報があり、すべてが1か所にまとまった時期です。

125 security  php 

特に、これは、クライアントセッションCookieを使用してサーバー上のセッションを識別する場合に関係します。 Webサイト全体にSSL / HTTPS暗号化を使用する最良の答えはありますか？中間の攻撃者が既存のクライアントセッションCookieを盗聴することができないという最高の保証がありますか？ そして、おそらくセッションCookieに格納されているセッション値自体にある種の暗号化を使用するのに2番目に適していますか？ 悪意のあるユーザーがマシンに物理的にアクセスできる場合でも、ファイルシステムを調べて有効なセッションCookieを取得し、それを使用してセッションを乗っ取ることができますか？

124 security  session  cookies 

最近、クロスサブドメインのajax呼び出しを行うことができるように設定Access-Control-Allow-Originする*必要がありました。 今、私は自分の環境をセキュリティリスクにさらしていると感じざるを得ません。 私がそれを間違えているなら助けてください。

124 ajax  security  cors 

iframeが危険でセキュリティ上のリスクがあると見なされるのはなぜですか？悪意を持って使用できるケースの例を誰かが説明できますか？

124 html  security  iframe 

コントローラのURLが適切に保護されているかどうかを単体テストする方法を見つけようとしていました。誰かが物事を変更し、誤ってセキュリティ設定を削除した場合に備えて。 私のコントローラーメソッドは次のようになります。 @RequestMapping("/api/v1/resource/test") @Secured("ROLE_USER") public @ResonseBody String test() { return "test"; } 私は次のようにWebTestEnvironmentを設定しました： import javax.annotation.Resource; import javax.naming.NamingException; import javax.sql.DataSource; import org.junit.Before; import org.junit.runner.RunWith; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.support.ClassPathXmlApplicationContext; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.web.FilterChainProxy; import org.springframework.test.context.ActiveProfiles; import org.springframework.test.context.ContextConfiguration; import org.springframework.test.context.junit4.SpringJUnit4ClassRunner; import org.springframework.test.context.web.WebAppConfiguration; import …

124 spring  security  model-view-controller  testing  junit 

Googleからメールと連絡先を取得するためにoAuthを使用します。ユーザーに毎回ログインしてアクセストークンとシークレットを取得するように要求したくありません。私が理解したことから、私はそれらを私のアプリケーションと一緒にデータベースまたはに保存する必要がありますSharedPreferences。しかし、私はそれでセキュリティ面について少し心配しています。トークンの暗号化と復号化は可能ですが、攻撃者がAPKとクラスを逆コンパイルして暗号化キーを取得するのは簡単です。 これらのトークンをAndroidに安全に保存するための最良の方法は何ですか？

123 android  security  oauth  preferences  token 

共有設定のセキュリティについて疑問に思います。 それらがMODE_PRIV（0）で作成された場合でも、sharedpreferencesへのアクセスを取得することは可能ですか？ 利用可能なすべての共有設定をリストし、他のアプリからすべての設定を取得することは可能ですか？ sharedpreferencesは、パスワードや認証トークンなどの機密データを配置するのに適した場所ですか？ ありがとう

118 android  security  sharedpreferences