問題タブ [secure-coding]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - 認証済みサイト内で Target="_blank" を使用するための業界のベスト プラクティスは何ですか?
認証済みのサイトがあり、サイト内でユーザーにメッセージを送信できます。セキュリティで保護されたサイトにログインしている間、ユーザーがセキュリティで保護された接続を失うことなく、ユーザー ポータル内のサイトとパブリック サイトをローミングできるようにする統合があります。PDF へのリンクがあり、Target="_blank" を追加して、ユーザーがクリックして PDF を表示し、PDF を表示するためにサイトを離れないようにしました。
ユーザーが PDF をクリックすると、既存のウィンドウの安全な接続がまだ存在していても、この PDF を表示するために保護されたサイトを離れることを知らせるメッセージが表示されます。
ユーザー エクスペリエンスの観点から見たベスト プラクティスとは? セキュリティで保護されたサイトで既存のタブを開いたままにして、新しいタブ/ウィンドウで PDF を開くのは正しいですか?
前もって感謝します!
android - Android ファイル ホスティング - アプリのドライブへのアクセスのみを許可する
探していて、探しているものが見つかりません。ですから、あなたが私を助けてくれることを願っています。これが私がやりたいことです...
TVアプリを書きたいです。アプリにはチャンネルのリストが必要です (テキスト ファイルに保存されます)。これを行う方法は知っていますが、ユーザーが自分のチャンネルを他のユーザーと共有できるようにする方法についてサポートが必要です。だからここに私の考えがあります...
Google ドライブ、Dropbox などをセットアップして、ユーザーがこの共有ドライブとの間でチャンネル (テキスト ファイル) をアップロード/ダウンロードできるようにします (私はこのドライブを所有し、私だけがアクセスできます)。
ユーザーがアプリで新しいチャネルを参照すると、アプリはドライブからファイルのリストを取得し、それらのファイル名を画面に表示する必要があります。ユーザーがこれらのファイルのいずれかを選択すると、アプリは選択したファイルからチャンネルをインポートします。
ユーザーがチャンネルを共有したい場合、アプリから共有ボタンをクリックします。アプリはチャンネルをテキスト ファイルに保存し、このファイルをドライブにアップロードします。
私の質問は、ドライブに安全にアクセスし、アプリにファイルへのアクセスのみを許可するコードを作成するにはどうすればよいかということです。誰にも他のアプリにもドライブへのアクセスを許可したくありません。
ありがとうございます。
c - スタック上の変数をクリア
コードスニペット:
(コードに示されているように) ingkeyの前にスタックから変数の値をクリアする必要があります。return
ご参考までに、これは実際の顧客要件 (埋め込みドメイン) でした。
java - クラスが final でない場合、Java の脆弱なコードを利用する方法、クローンの作成などを許可する方法
明らかな何かが見られないかどうかはわかりません...安全なコーディングに関するこれらの推奨事項を読んでいました: http://www.javaworld.com/article/2076837/mobile-java/twelve-rules-for-developing -より安全なJavaコード.html
クラスまたはメソッドを final と宣言しないと、攻撃者がバイト コードでオーバーライドまたは拡張する可能性があるため、攻撃者は独自の悪意のあるコードをバイトコードに配置できますが、攻撃がどのように行われるかは明確にわかりません。完了しました。つまり、プログラムが元のクラスではなく拡張クラスを使用するようにする方法...たとえば、プログラムがある場合:
そして、攻撃者は別の悪意のあるクラスを作成します:
プログラム、ユーザー、またはだます必要があるものをだまして、プログラムが TheClass の代わりに TheMaliciousClass を使用する方法は? 多分私は要点を正しく理解しておらず、攻撃は別の方法で行われています...とにかく、説明をいただければ幸いです。どうもありがとう!!
OWASP では、「最終性」でこのセキュリティ上の欠陥についても話しています: https://www.owasp.org/index.php/Java_leading_security_practice
checkmarx - CheckMarx は、変数をサニタイズして検証する必要があることを示しています
nodejsには以下のコードがあります
checkmarx が上記のコードを見つけると、サニタイズして検証する必要があると表示されます。この問題を解決する方法を教えてください。
前もって感謝します
java - HP Fortify の警告
ant 統合ビルドから HP Fortify SCA を実行していますが、エラー/警告が表示されます。私は惨めに何が起こっているのかを知ることができず、Google はあまり役に立ちませんでした。
1) [警告]: Java シンボルへの次の参照を解決できませんでした。これらのシンボルを含むすべての必要な jar ファイルを SCA に提供してください。特に、これらのクラスはすべてソース コードの内部クラスであり、2 つのメソッドは .jar ファイルからのものです。ソースコードと .jar の両方が classpth にあります
2) [エラー]: ファイルの解決中に予期しない例外が発生しました 3) [警告]: ファイルの変換中に予期しない例外が発生しました (2) および (3) のエラー ログでは、Fortify が
NullPointerException および一部の IndexOutOfBoundException で失敗しています。