問題タブ [secure-coding]

データベースサーバーとの接続を確立するためのphpファイルを作成しました。このファイルでmysql_connect()は、データベースサーバーのパラメーターホスト、ユーザー名、およびパスワードを使用して関数を使用しています。

この場合、ユーザー名とパスワードは他のユーザーに表示されます。

値を確保するもう 1 つの方法を見つけましmysql.default_userたmysql.default_password。どのシナリオでこのようにする必要がありますか?

または、どうすれば自分の価値を他の人から守ることができますか?

splintDebian の安定した環境内で、いくつかのソースを実行したいと考えています。
プリプロセッサ ディレクティブを指定-DUINT16_T='unsigned short'する必要があり、非常に頻繁に必要になります。ファイル内に配置したいと思い.splintrcます。
コマンドラインから実行するsplint -DUINT16_T='unsigned short' mysource.cとうまくいきます。この行を私の.splintrcファイルに移動する場合

splint呼び出しの結果

誰にも解決策はありますか？（別名なしでお願いします）。

さらなる議論のために、私は mnwe (minimal not working example) を提供しますhello.c。これは役立つかもしれません:

コマンドgcc -DUINT16_T='unsigned short' hello.cは正常に実行されます-splint -DUINT16_T='unsigned short' hello.cもちろん、どちらも主張します

しかし、繰り返しになりますが、この DEFINE を my に含めるにはどうすればよい.splintrcですか?

私はいくつかのアプリを作成している会社で働いていますが、それらのアプリのすべてが同じ署名を持っているわけではなく、当分の間、少なくとも 5 ～ 6 個のアプリ証明書を持っているようなものです。

私たちは、同じデバイス上のすべての会社のアプリが同じものを共有するメカニズムを作成しようとしました.アプリ B はアプリ A と同じ ID を持つ必要があります (id は単に生成された UUID タイプ #4 です) など...

現時点ではブロードキャストを使用しており、許可を得たアプリのみがそのブロードキャストを受信し、別のブロードキャスト (今回は明示的) で ID を返すことができます。ブロードキャストと応答は、署名レベルの許可を得て保護されています。これは、複数の署名があるため、もちろん役に立ちません。

私はインテント ブロードキャストとリカバリを作成しようとしました。これは、1 つの署名だけに限定されるのではなく、複数の署名に限定される独自の保護メカニズムを持つことができます。問題は、Binder.getSenderUID() のようなものがブロードキャストで機能せず、自分の uid。彼自身が自分の ID をインテントに書き込まない限り、sder の ID を取得する方法はないようです。これは、簡単に偽造できるため、信頼できるものではありません。暗号化を使用するには、アプリにキーが付属している必要がありますが、これはもう一度セキュリティで保護されていません。検証のためにサーバーにアクセスするには時間がかかりすぎます。また、モバイルではネットワークが存在することを 100% 確信できないため、成功する保証はありません。

あるアプリから別のアプリに検証\セキュアメッセージを取得する方法は誰にもわかりますか?(すべてのアプリですが、署名が異なる場合があります)。

ログイン機能を持つ小さな Sinatra アプリケーションを作成しています。ruby でこれを行うのはこれが初めてで、html フォームからパスワードを投稿する際にアドバイスが必要でした。これを行うための最善かつ最も安全な方法は何でしょうか。

どんな助けでも大歓迎です。

ありがとうアレックス

がある

Java プログラミング言語バージョン 4.0のセキュア コーディング ガイドライン

scalaに似たものはありますか？

そうでない場合は、Scala 固有のものを提案できますか?

次のコードは、TOCTOU 攻撃に対して脆弱であると想定されています。

私が理解できないのは、この競合状態がどのように機能するかということです? 2 つのスレッド T1 と T2 があり、T1 には有効な引数のセットがあり、チェックに合格する必要があり、T2 はクラスに無効な値を設定したいハッカーであるとします。

2 つのスレッドが競合していて、このコードがクリティカル セクションである場合、T1 の実行がチェックに合格してスリープ状態になるとします。T2 が実行を開始するとき、再びチェックを通過する (そして失敗する) ことはありませんか??

通常、Google を使用して必要な回答を見つけることができるため、通常はフォーラムに投稿しません。しかし、私が実行しているすべての検索では、特定のゲームやシステムに既に存在するバッファ オーバーフローの脆弱性など、非常に具体的な結果が得られますが、これは必要なものではありません。

Windows Server 2008 R2 を含むホーム ネットワークがあり、息子は Minecraft サーバーを起動したいと考えています。もちろん、息子が学習できるようにフル アクセスを許可したいと考えています。しかし、すべてのゲームが「改造可能」であり、彼は多くのゲームでカスタム マップなどを使用していることを知っています。

私の懸念は、経験の浅いプログラミングに基づいてネットワークにセキュリティ リスクを作成することです。私のサーバーに mod をインストールして作成する権限を彼に与えることは、実際に mod を書いている人々の経験が浅い可能性があるため、(開いている Minecraft ポート以外の) 脆弱性を開く可能性がありますか? それとも、モッズは単にそのように機能せず、私の質問に対する答えが見つからないのですか？