Las contraseñas no deben almacenarse en texto sin formato por razones obvias de seguridad: debe almacenar los hash y también debe generar el hash con cuidado para evitar ataques de la tabla del arco iris. Sin embargo, por lo general usted tiene la obligación de almacenar los últimos n contraseñas...
He escuchado a personas dar conferencias aquí y allá en Internet que es una buena práctica ocultar los identificadores de bases de datos públicas en las aplicaciones web. Supongo que significan principalmente en formas y en URL, pero nunca he leído nada más que un bocado sobre el tema. EDITAR :...
Tal como está actualmente, esta pregunta no es adecuada para nuestro formato de preguntas y respuestas. Esperamos que las respuestas sean respaldadas por hechos, referencias o experiencia, pero esta pregunta probablemente solicitará debate, argumentos, encuestas o discusión
La inyección de SQL es un problema de seguridad muy serio, en gran parte porque es muy fácil equivocarse: la forma obvia e intuitiva de crear una consulta que incorpore la entrada del usuario lo deja vulnerable, y la forma correcta de mitigarlo requiere que conozca los parámetros consultas e...
Digamos que quiero que algunas partes de mi software estén encriptadas. Por ejemplo, las credenciales para una base de datos, etc. Necesito almacenar esos valores en algún lugar, pero hacerlo en texto sin cifrar facilitaría que un atacante obtenga acceso no autorizado. Sin embargo, si cifro algún...
¿Cómo debería un proyecto de código abierto con un repositorio público manejar mejor las solicitudes de extracción (RP) que abordan vulnerabilidades de seguridad informadas de forma segura pero aún no divulgadas públicamente? Estoy involucrado en un proyecto de código abierto con varios cientos de...
He leído en numerosas fuentes que la salida del rand () de PHP es predecible ya que es un PRNG, y en su mayoría lo acepto como un hecho simplemente porque lo he visto en muchos lugares. Estoy interesado en una prueba de concepto: ¿cómo haría para predecir la salida de rand ()? Al leer este...
Esta pregunta se migró de Stack Overflow porque se puede responder en Software Engineering Stack Exchange. Migrado 7 años . ¿Qué aspectos debo tener en cuenta al diseñar y publicar software que debe cumplir con las restricciones de exportación de EE. UU. Para el software...
Si creo un inicio de sesión para una aplicación que tiene un riesgo de seguridad medio a bajo (en otras palabras, no es una aplicación bancaria ni nada), ¿es aceptable para mí verificar una contraseña ingresada por el usuario simplemente diciendo algo como: if(enteredPassword == verifiedPassword)...
Estoy teniendo un desacuerdo con alguien (un cliente) sobre el proceso de identificación / autenticación de usuario para un sistema. El meollo de esto es que quieren que cada usuario tenga una contraseña global única (es decir, no hay dos usuarios que puedan tener la misma contraseña). He explicado...
Después de leer esta interesante pregunta, sentí que tenía una buena idea de qué algoritmo de hash inseguro usaría si lo necesitara, pero no tengo idea de por qué podría usar un algoritmo seguro. Entonces, ¿cuál es la distinción? ¿No es la salida solo un número aleatorio que representa la cosa...
Es difícil saber qué se pregunta aquí. Esta pregunta es ambigua, vaga, incompleta, demasiado amplia o retórica y no se puede responder razonablemente en su forma actual. Para obtener ayuda para aclarar esta pregunta y poder volver a abrirla, visite el centro de ayuda .
Estoy usando tokens JWT en encabezados HTTP para autenticar solicitudes a un servidor de recursos. El servidor de recursos y el servidor de autenticación son dos roles de trabajo separados en Azure. No puedo decidir si debo almacenar los reclamos en el token o adjuntarlos a la solicitud /...
Leí esta respuesta y encontré un comentario que insiste en no enviar la contraseña por correo electrónico: las contraseñas no deberían poder recuperarse por correo electrónico, lo odio. Significa que mi contraseña se almacena en texto plano en alguna parte. solo debe reiniciarse. Esto me...
Recientemente utilicé un servicio gubernamental del que tenía una cuenta desde hace años. No podía recordar mi contraseña para el servicio, así que utilicé el enlace "Olvidé mi contraseña" y me sorprendió ver que este sitio web del gobierno envió mi contraseña a mi dirección de correo electrónico...
Para una empresa para la que solía trabajar, tuve que implementar un receptor de socket que tomaba principalmente datos en forma UDP a través de una conexión local desde algún hardware de sensor especializado. Los datos en cuestión eran un paquete UDP bien formado, pero curiosamente, la carga útil...
Parece menos común con los sitios web más nuevos, pero muchos sitios web en los que necesito una cuenta (como para pagar facturas, etc.) me impiden crear una contraseña con espacios en ella. Esto solo hace que las cosas sean más difíciles de recordar , y soy consciente de que no hay restricciones...
Estoy construyendo un programa interpretado bastante complejo en Python. He estado trabajando en la mayoría de este código para otros fines durante unos meses y, por lo tanto, no quiero que mi cliente pueda simplemente copiarlo e intentar venderlo, ya que creo que vale la pena. El problema es que...
Cerrada . Esta pregunta necesita estar más centrada . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que se centre en un problema solo editando esta publicación . Cerrado hace 5 años . Así que he...
Soy un desarrollador de Java desde hace mucho tiempo y, finalmente, después de especializarme, tengo tiempo para estudiarlo decentemente para tomar el examen de certificación ... Una cosa que siempre me ha molestado es que String sea "final". Lo entiendo cuando leo sobre los problemas de seguridad...