问题标签 [security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 防御性编程
在编写代码时,您是否有意识地进行防御性编程以确保高程序质量并避免您的代码被恶意利用的可能性,例如通过缓冲区溢出利用或代码注入?
您将始终应用于代码的“最低”质量水平是多少?
wcf - 保护 REST API/Web 服务的最佳实践
在设计 REST API 或服务时,是否有任何既定的最佳实践来处理安全性(身份验证、授权、身份管理)?
在构建 SOAP API 时,您可以将 WS-Security 作为指南,并且有很多关于该主题的文献。我发现有关保护 REST 端点的信息较少。
虽然我理解 REST 故意没有类似于 WS-* 的规范,但我希望已经出现了最佳实践或推荐模式。
任何讨论或相关文件的链接将不胜感激。如果这很重要,我们将使用带有 POX/JSON 序列化消息的 WCF,用于使用 .NET Framework 的 v3.5 构建的 REST API/服务。
java - 解决 JBoss 中的会话固定问题
我需要在 JBoss 中运行的 Java Web 应用程序中防止Session Fixation,一种特定类型的会话劫持。但是,标准习语似乎在 JBoss 中不起作用。这可以解决吗?
c++ - C++ 中的安全内存分配器
我想创建一个分配器,它提供具有以下属性的内存:
- 无法分页到磁盘。
- 很难通过附加的调试器访问
这个想法是这将包含用户应该无法访问的敏感信息(如许可证信息)。我已经在网上进行了通常的研究,并就此询问了其他一些人,但我找不到一个很好的起点来解决这个问题。
更新
Josh提到了使用VirtualAlloc来设置内存空间的保护。我创建了一个自定义分配器(如下所示)我发现使用VirtualLock它限制了我可以分配的内存量。这似乎是设计使然。因为我将它用于小物体,所以这不是问题。
并且被使用
Ted Percival提到了 mlock,但我还没有实现。
我发现Neil Furguson 和 Bruce Schneier 的 Practical Cryptography 也很有帮助。
security - 实用的非基于图像的验证码方法?
看起来我们将向 Stack Overflow 添加CAPTCHA支持。这是防止机器人、垃圾邮件发送者和其他恶意脚本活动所必需的。我们只希望人类在这里发布或编辑东西!
我们将使用 JavaScript (jQuery) CAPTCHA 作为第一道防线:
http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHA
这种方法的优点是,对于大多数人来说,验证码永远不会可见!
然而,对于禁用 JavaScript 的人,我们仍然需要一个后备,这就是它变得棘手的地方。
我为 ASP.NET 编写了一个传统的 CAPTCHA 控件,我们可以重复使用它。
但是,我更喜欢使用文本内容,以避免每次请求在服务器上创建所有这些图像的开销。
我见过像..
- ASCII 文本验证码:
\/\/(_)\/\/ - 数学谜题:7 减去 3 乘以 2 等于多少?
- 琐事问题:什么味道更好,蟾蜍还是冰棒?
也许我只是在这里对风车倾斜,但<noscript>如果可能的话,我希望有一个资源密集型、非基于图像的兼容验证码。
想法?
sql-server - 将数据库密码存储在启动脚本/配置文件中的最佳方法?
所以我们的网络服务器应用需要连接到数据库,而其他一些应用有在启动时执行的启动脚本。
就这些应用程序而言,存储名称/密码的最佳方式是什么?
- 安全性,例如我们可能不希望系统管理员知道数据库密码
- 可维护性,例如在密码更改时使配置易于更改等。
windows 和 linux 解决方案都赞赏!
apache-flex - 如何使用 Flash (AS3) 从远程域调用 Flex SWF?
我有一个托管在http://www.a.com/a.swf的 Flex swf 。我在另一个尝试加载 SWF 的域上有一个 flash 代码:
在 onLoaderFinish 事件中,我尝试从远程 SWF 加载类并创建它们:
当此代码运行时,我得到以下异常
有什么办法可以让这段代码工作吗?
java - 如何通过 SFTP 从服务器检索文件?
我正在尝试使用 Java 使用 SFTP(而不是 FTPS)从服务器检索文件。我怎样才能做到这一点?
security - 代理服务器可以缓存 SSL GET 吗?如果没有,响应正文加密就足够了吗?
(||any) 代理服务器可以缓存客户端通过 https 请求的内容吗?由于代理服务器看不到查询字符串或 http 标头,我认为他们看不到。
我正在考虑一个桌面应用程序,由他们公司代理背后的许多人运行。这个应用程序可以访问互联网上的服务,我想利用内置的互联网缓存基础设施进行“读取”。如果缓存代理服务器无法缓存 SSL 传递的内容,那么简单地加密响应的内容是一个可行的选择吗?
我正在考虑通过 http 请求我们希望可缓存的所有 GET 请求,并使用非对称加密对正文进行加密,其中每个客户端都有解密密钥。每当我们希望执行不可缓存的 GET 或 POST 操作时,都将通过 SSL 执行。
asp.net - 位置提供者
我们需要替换主 ASP.NET 应用程序中的菜单系统。所以很自然地,我们正在研究 ASP.NETSiteMapProvider和Menu控件。但是,我们还需要足够的安全性来防止用户直接输入他们不应该访问的 URL。我们可以通过将<location>条目放入web.config并单独保护它们来做到这一点,但这将是一个跨多个 Web 服务器管理的 PITA。
有没有Provider可以用来提供条目的等效<location>项?我一直没能找到一个,考虑到ConfigurationLocation类的存在,这有点令人沮丧。
或者,我们在 SiteMapProvider 中是否缺少一个配置选项来限制用户访问他们不应该访问的 URL?