Questions tagged «security»

有关密码和IT安全的问题。这可以是计算机,网络或数据库的安全性。

9
用户注册的合理且安全的密码要求是什么?
这是我刚从UPS获得的密码策略(仅用于包装状态检查): 您的密码必须介于8到26个字符之间。它必须至少包含以下三种字符类型:小写字母,大写字母,数字,特殊字符或空格。密码可能不包含您的用户ID,您的名称或您的电子邮件地址。(SSO_1007) 实际上,我一定要动脑筋才能生成此密码,但不仅如此,最重要的是,我确定三天后我会忘记该密码是什么。用户不会那么高兴。密码重置可能很频繁。我认为除非有必要,否则用户将尝试避免使用该网站。 设置网站时,什么是合理且安全的密码策略?我认为有些公司可能会担心某些黑客尝试使用密码的次数超过一百万次,因此他们添加了“特殊字符,小写字母,大写字母”的所有要求,但是关闭帐户或仅禁用密码设置是不合理的密码,如果用户尝试了30次或100次,是否需要重设密码?还是在用户尝试30次后每次添加5秒的延迟?如果是这样,那么将不需要那么多特殊字符。

2
JWT的有效载荷中应包括访问权限和角色吗?
JWT是否应包含有关客户端的权限和角色的信息? 在JWT令牌中具有此类信息将非常有用,因为每次有有效令牌出现时,都将更容易提取有关用户权限的信息,并且无需为此调用数据库。但是,将这样的信息包括在数据库中而不对它们进行仔细检查是否会带来安全问题? 要么, 诸如上述信息之类的信息不应成为JWT的一部分,而应该仅使用数据库来检查用户的访问角色和权限?

2
CDN如何保护故障转移站点免受DDoS攻击?
我正在设计Java Web应用程序,最终可能会将该应用程序部署到Google App Engine(GAE)。关于GAE的好处是,我真的不必担心要从可怕的DDoS攻击中强化我的应用程序-我只需指定一个“计费上限”,并且如果我的流量达到此上限(DDoS或其他),只会关闭我的应用程序。换句话说,GAE本质上可以扩展到任何数量,直到您根本负担不起让应用程序继续运行。 因此,我正在尝试制定一个应急方案,如果我确实超出了计费上限,并且GAE关闭了我的应用程序,则我的Web应用程序域DNS设置会“故障转移”到另一个非GAE IP地址。一些初步研究表明,某些CDN(例如CloudFlare)可为这种确切情况提供服务。基本上,我只是保留我的DNS设置,并且它们提供了一个API,我可以点击它以自动执行故障转移过程。因此,如果我检测到我的GAE应用程序的帐单上限为99%,则可以点击CloudFlare API,然后CloudFlare将动态更改DNS设置,使其从GAE服务器指向其他IP地址。 我最初的偶然性是将故障转移到托管在其他地方(例如由GoDaddy或Rackspace托管)的Web应用程序的“只读”(仅静态内容)版本。 但是,突然间我突然意识到:如果DDoS攻击针对的是域名,那么如果我从GAE IP地址过渡到我的GoDaddy IP地址会产生什么区别?从本质上讲,故障转移除了允许DDoS攻击者关闭我的备份/ GoDaddy站点外不会做任何其他事情! 换句话说,DDoS攻击者协调了由GAE托管的我的Web应用程序上的攻击,该攻击www.blah-whatever.com确实是IP地址100.2.3.4。它们使我的流量激增到我的帐单上限的98%,并且我的自定义监视器触发了CloudFlare从100.2.3.4到105.2.3.4的故障转移。DDoS攻击者不在乎!他们仍在发动攻击www.blah-whatever.com!DDoS攻击仍在继续! 因此,我想问:像CloudFlare这样的CDN可以提供什么保护,以便当您需要故障转移到另一个DNS时,您不会受到相同的,持续的DDoS攻击的威胁吗?如果存在这样的保护,故障转移站点上是否存在任何技术限制(例如,只读等)?如果没有,那它们有什么好处?提前致谢!


2
在我自己的应用程序中模仿Exchange Server的“ RBAC AuthZ”…(有类似的东西吗?)
Exchange 2010中有一个代表团模型,其中一组的WinRM的cmdlet的essentally分为角色,并分配给用户的角色。 (图片来源) 考虑到我如何利用PowerShell的所有优势,同时使用正确的低级技术(WCF,SOAP等),并且在客户端不需要任何其他软件,这是一个很好且灵活的模型。 (图片来源) 问题 我是否可以在.NET应用程序中利用Exchange的委派模型? 有没有人试图模仿这种模式? 如果必须从头开始,我将如何模仿这种方法?

1
.NET应用程序的权限/正确的模型/模式
我需要实现灵活和简单(如果存在这种情况),并在可能的情况下同时利用内置方法 到目前为止,我已经实现了MembershipProvider和RoleProviders。这很酷,但是我下一步要去哪里? 我觉得我需要添加术语“特权”,而不是对应用程序内部的代码进行硬编码。用户将配置角色以将特权添加到角色,并将角色分配给用户。 听起来不错吗?除了将其添加到角色之外,我是否应该考虑在用户级别添加特权?我可能会,但我预想安装(混乱)和支持以下方面的问题。 如果我不这样做,则某些特定用户将需要较少的权限-管理员将不得不创建另一个角色,依此类推。 这样的系统有什么灵丹妙药吗?以及为什么Microsoft不只是会员资格和角色提供者而走得更远? 另一个想法:将角色保留为“特权”持有者并对其进行硬编码。然后,我可以使用所有可用的标记/属性等对应用程序内的那些角色进行编码-所有Microsoft。 添加新实体“组”并创建关系 用户数 用户组 团体 角色组 的角色 这样,我可以将角色收集到组中并将这些组分配给用户。听起来不错,并且与其他软件模式匹配。但是然后我真的不能在RoleProvider中实现诸如以下的功能: AddUsersToRoles RemoveUsersFromRoles 而且有些事情真的不再有意义了,因为它们将被硬编码 DeleteRole 创建角色

11
您在编码时会积极考虑安全性吗?
在进行编码时,您是否积极考虑可能会以原本不该使用的方式利用您的代码,从而获得对受保护信息的访问,运行命令或您不希望用户执行的其他操作?
9 security 

3
IT顾问何时应使用全盘加密?
在什么情况下,IT顾问应加密其硬盘驱动器以保护其客户的代码/数据? 我在想,如果它不会给您的工作量增加太多,那么您最好使用带有“弱”密码的全盘加密,以至少防止有人在笔记本电脑被盗的情况下访问您的电子邮件文件和其他文档,即使他们被盗也是如此。将无法访问任何数据库文件或其他非常敏感的数据。
9 security 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.