Cerrado. Esta pregunta está fuera de tema . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que sea sobre el tema de Software Engineering Stack Exchange. Cerrado hace 4 años . El malware utiliza...
Esta es la política de contraseña que acabo de recibir de UPS (solo para verificar el estado del paquete): Su contraseña debe tener entre 8 y 26 caracteres de longitud. Debe contener al menos tres de los siguientes tipos de caracteres: letras minúsculas, mayúsculas, números, caracteres...
Estoy desarrollando una aplicación web con un fuerte enfoque en la seguridad. ¿Qué medidas se pueden tomar para evitar que quienes trabajan en la aplicación (programadores, DBA, personal de control de calidad) capturen los valores ingresados por el usuario que deberían estar bien protegidos, como...
He estado leyendo literatura sobre seguridad, específicamente seguridad / cifrado de contraseña, y me he estado preguntando algo: ¿es la regla de los 3 golpes una solución perfecta para la seguridad de contraseña? Es decir, si el número de intentos de contraseña se limita a un número pequeño,...
He estado leyendo mucho sobre OAuth2 tratando de entenderlo, pero todavía estoy confundido acerca de algo. Entiendo que el cliente autoriza con el proveedor de OAuth (Google, por ejemplo) y permite que el servidor de recursos tenga acceso a los datos del perfil del usuario. Luego, el cliente puede...
En mi universidad local, hay un pequeño club de computación para estudiantes de unos 20 estudiantes. El club tiene varios equipos pequeños con áreas específicas de enfoque, como desarrollo móvil, robótica, desarrollo de juegos y piratería / seguridad. Estoy presentando algunos conceptos básicos de...
A menudo, lo que se muestra a un usuario (por ejemplo, en una página web) se basará en parte en controles de seguridad. Por lo general, considero que la seguridad de nivel de usuario / ACL es parte de la lógica empresarial de un sistema. Si una vista verifica explícitamente la seguridad para...
Heredé algunos proyectos en los que los secretos estaban en el control de origen en App.config y archivos similares. Afortunadamente no es un repositorio público, por lo que el riesgo no es tan grave como podría haber sido. Estoy buscando mejores formas de administrar esto, como Azure KeyVault....
El RFC actual de Websocket requiere que los clientes de websocket enmascaren todos los datos dentro de los marcos cuando se envían (pero no se requiere que el servidor lo haga). La razón por la cual el protocolo fue diseñado de esta manera es para evitar que los datos maliciosos sean alterados por...
Tengo que diseñar un "widget", un script que los socios incorporarán en sus sitios web para mostrar una interfaz de usuario y realizar llamadas a nuestra API. Básicamente, mostrará nuestros datos en estos sitios en función de algunos ID que proporcionan en nuestras llamadas a la API. Lo que nos...
¿En qué circunstancias un Consultor de TI debe encriptar su disco duro para proteger el código / datos de sus clientes? Estoy pensando que si no agrega mucho a su carga de trabajo, también podría usar el cifrado de disco completo con una contraseña 'débil' para al menos evitar que alguien acceda a...
Cuando está codificando, ¿piensa activamente en que su código podría explotarse de una manera que originalmente no estaba destinada a hacer y, por lo tanto, obtener acceso a información protegida, ejecutar comandos u otra cosa que no desea que hagan sus
¿Debería incluirse información sobre los permisos y roles del cliente en JWT? Tener dicha información en el token JWT será muy útil ya que cada vez que llega un token válido, sería más fácil extraer la información sobre el permiso sobre el usuario y no será necesario llamar a la base de datos...
Necesito implementar flexible Y simple (si tal cosa existe) y al mismo tiempo utilizar medios integrados si es posible Hasta ahora he implementado MembershipProvider y RoleProviders. Esto es genial, pero ¿a dónde voy después? Siento que necesito agregar el término "Priviledge" y luego codificar...
Exchange 2010 tiene un modelo de delegación donde grupos de WinRM cmdlets se essentally agrupan en funciones y los roles asignados a un usuario. ( Fuente de la imagen ) Este es un modelo excelente y flexible, considerando cómo puedo aprovechar todos los beneficios de PowerShell, mientras uso las...
Para comenzar con los antecedentes, esta publicación es lo que Jeff Atwood dice sobre los tokens CSRF. En esta misma página, continúa diciendo: Un método de prevención aún más fuerte, aunque más complejo, es aprovechar el estado del servidor para generar (y rastrear, con tiempo de espera) una...
Necesito diseñar una base de datos que contenga información sobre enfermedades personales de los usuarios. ¿Cuál puede ser el enfoque para implementar las columnas de las tablas del DB: cifrar la información, separar los datos dentro de dos DB diferentes, uno para datos confidenciales y otro para...
Estoy en el proceso de diseño de una aplicación web Java que probablemente terminaré implementando en Google App Engine (GAE). Lo bueno de GAE es que realmente no tengo que preocuparme por fortificar mi aplicación del temido ataque DDoS: solo especifico un "límite de facturación", y si mi tráfico...
He creado un frasco sellado, pero no veo diferencia en comparación con el uso de uno no sellado. ¿Qué pruebas puedo realizar para verificar que el frasco esté sellado? ¿Qué razón podríamos tener para preferir usar un sellado en lugar de uno? ¿Un sellado creará algún problema para los usuarios...
Una persona aleatoria en Internet me dijo que una tecnología era segura (1), segura de usar y que no contenía keyloggers porque era de código abierto. Si bien puedo detectar trivialmente el registrador de pulsaciones de teclas en esta aplicación de código abierto , ¿qué pueden hacer los...