Questions tagged «security»

我听说公开数据库ID（例如，在URL中）存在安全风险，但是我很难理解原因。 是否对为什么有风险有任何意见或链接？ 编辑：当然，访问范围是有限的，例如，如果您看不到资源foo?id=123，则会看到错误页面。否则，URL本身应该是秘密的。 编辑：如果URL是机密的，则它可能包含一个生成的令牌，该令牌的寿命有限，例如，有效期为1小时，只能使用一次。 编辑（几个月后）：我目前的首选做法是使用UUIDS作为ID并公开它们。如果我使用序号（通常是为了提高某些DB的性能）作为ID，则喜欢为每个条目生成一个UUID令牌作为备用键，并公开它。

133 database  security 

关闭。此问题不符合堆栈溢出准则。它当前不接受答案。 想改善这个问题吗？更新问题，使其成为Stack Overflow 的主题。 2年前关闭。 改善这个问题 我有一个程序可以从配置文件中读取服务器信息，并希望在该配置中加密密码，该密码可以由我的程序读取并解密。 要求： 加密要存储在文件中的纯文本密码 解密从我的程序从文件读取的加密密码 关于我将如何做到这一点的任何建议？我当时在考虑编写自己的算法，但我认为这绝对是不安全的。

130 java  security  encryption  configuration  cryptography 

我没有Base64加密。 如果可以解密Base64字符串，它的目的是什么？ 为什么将其用于HTTP Basic身份验证？ 这就像告诉某人我的密码已转换为OLLEH。 看到OLLEH的人会知道原来的密码是HELLO。

129 security  encryption  base64 

我正在构建一个移动应用程序，并且正在使用JWT进行身份验证。 似乎最好的方法是将JWT访问令牌与刷新令牌配对，以便我可以根据需要频繁地使访问令牌到期。 刷新令牌是什么样的？是随机字符串吗？该字符串是否已加密？是另一个JWT吗？ 刷新令牌将存储在用户模型上的数据库中以供访问，对吗？在这种情况下，似乎应该对其进行加密 用户登录后，我会发回刷新令牌，然后让客户端访问一条单独的路由来检索访问令牌吗？

129 security  authentication  oauth-2.0  jwt 

我有一个python脚本正在创建ODBC连接。ODBC连接是使用连接字符串生成的。在此连接字符串中，我必须包含此连接的用户名和密码。 有没有一种简便的方法来隐藏文件中的此密码（只是在我编辑文件时没人能读取该密码）？

127 python  security 

怎么转换String成SecureString？

127 c#  .net  security  securestring 

在听完Scott Hanselman对Stack Overflow团队的采访（第1部分和第2 部分）时，他坚持认为SQL Server和应用程序服务器应该位于单独的机器上。这是否只是为了确保如果一台服务器遭到破坏，两个系统都无法访问？安全问题是否超过了两台服务器的复杂性（额外成本，两台服务器之间的专用网络连接，更多维护等），特别是对于小型应用程序，其中两个服务器都不使用过多的CPU或内存？即使有两台服务器，其中一台服务器受损，攻击者仍可能通过删除数据库或弄乱应用程序代码来造成严重损害。 如果性能不成问题，为什么这会是一件大事？

126 database  security  networking  infrastructure  hardware-infrastructure 

如果我正在设置服务器并获得SSL证书，为什么我不对整个站点使用HTTPS而不是仅仅用于购买/登录？我认为仅加密整个站点并完全保护用户会更有意义。这样可以防止出现诸如决定必须保护什么内容之类的问题，因为这一切都应该是事实，这对用户而言并不是真正的麻烦。 如果我已经在网站的一部分上使用HTTPS，为什么不希望在整个网站上使用它？ 这是一个相关的问题：为什么https仅用于登录？，但答案并不令人满意。答案假设您无法将https应用于整个网站。

126 security  https 

已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它当前不接受新的答案或互动。 用PHP维护负责的会话安全性有哪些准则？网络上到处都是信息，现在是时候将所有信息集中在一个地方了！

125 security  php 

具体来说，这与何时使用客户端会话cookie来标识服务器上的会话有关。 在整个网站上使用SSL / HTTPS加密是最好的答案，并且您能最好地保证没有中间人会嗅探现有的客户端会话cookie？ 也许对存储在您的会话Cookie中的会话值本身使用某种加密的第二好方法？ 如果恶意用户对计算机具有物理访问权，他们仍然可以查看文件系统以检索有效的会话cookie，并使用该cookie劫持会话？

124 security  session  cookies 

我最近不得不设置Access-Control-Allow-Origin为*，以便能够进行跨子域的ajax调用。 现在，我不禁感到自己正在使环境面临安全风险。 如果我做错了，请帮助我。

124 ajax  security  cors 

为什么将iframe视为危险和安全风险？有人可以描述一个可以恶意使用的例子吗？

124 html  security  iframe 

我试图弄清楚如何对我的控制器的URL进行正确保护的单元测试。以防万一有人更改周围的内容并意外删除安全设置。 我的控制器方法如下所示： @RequestMapping("/api/v1/resource/test") @Secured("ROLE_USER") public @ResonseBody String test() { return "test"; } 我像这样设置一个WebTestEnvironment： import javax.annotation.Resource; import javax.naming.NamingException; import javax.sql.DataSource; import org.junit.Before; import org.junit.runner.RunWith; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.support.ClassPathXmlApplicationContext; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.web.FilterChainProxy; import org.springframework.test.context.ActiveProfiles; import org.springframework.test.context.ContextConfiguration; import org.springframework.test.context.junit4.SpringJUnit4ClassRunner; import org.springframework.test.context.web.WebAppConfiguration; import …

124 spring  security  model-view-controller  testing  junit 

我将使用oAuth从Google提取邮件和联系人。我不想让用户每次登录都获得访问令牌和密码。据我了解，我需要将它们与应用程序一起存储在数据库或中SharedPreferences。但是我对此有点担心。我读到您可以加密和解密令牌，但是攻击者很容易反编译apk和类并获取加密密钥。 在Android中安全存储这些令牌的最佳方法是什么？

123 android  security  oauth  preferences  token 

我想知道共享首选项的安全性。 即使共享首选项是在MODE_PRIV（0）中创建的，也可以访问共享首选项吗？ 是否可以列出所有可用的共享首选项，然后从其他应用程序获取所有设置？ sharedpreferences是放置敏感数据（例如密码或身份验证令牌）的好地方吗？ 谢谢

118 android  security  sharedpreferences