問題タブ [security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 防御的プログラミング
コードを書くとき、高いプログラム品質を確保し、バッファ オーバーフロー エクスプロイトやコード インジェクションなどによってコードが悪用される可能性を回避するために、意識的に防御的にプログラムしますか?
コードに常に適用する「最低」レベルの品質は?
wcf - REST API/Webサービスを保護するためのベストプラクティス
REST APIまたはサービスを設計するとき、セキュリティ(認証、承認、ID管理)を処理するための確立されたベストプラクティスはありますか?
SOAP APIを構築するときは、ガイドとしてWS-Securityがあり、このトピックに関する多くの文献があります。RESTエンドポイントの保護に関する情報が少なくなっています。
RESTには意図的にWS-*に類似した仕様がないことは理解していますが、ベストプラクティスまたは推奨されるパターンが出現したことを期待しています。
議論や関連文書へのリンクをいただければ幸いです。重要な場合は、.NETFrameworkのv3.5を使用して構築されたRESTAPI/サービスのPOX/JSONシリアル化メッセージでWCFを使用します。
c++ - C++ のセキュア メモリ アロケータ
次の属性を持つメモリを提供するアロケータを作成したいと考えています。
- ディスクにページングできません。
- 接続されたデバッガーからアクセスするのは非常に困難です
これには、ユーザーがアクセスできない機密情報 (ライセンス情報など) が含まれるという考えです。私はオンラインで通常の調査を行い、これについて他の何人かの人々に尋ねましたが、この問題を開始するのに適した場所を見つけることができません.
アップデート
JoshVirtualAlloc
は、メモリ空間に保護を設定するために使用することについて言及しています。カスタム アロケータを作成しました (以下を参照) 。このVirtualLock
関数を使用すると、割り当てることができるメモリの量が制限されることがわかりました。ただし、これは仕様によるものと思われます。私は小さなオブジェクトに使用しているので、これは問題ではありません。
と使用されます
Ted Percivalは mlock について言及していますが、私はまだそれを実装していません。
Neil Furguson と Bruce SchneierによるPractical Cryptographyも非常に役に立ちました。
security - 実用的な非画像ベースの CAPTCHA アプローチ?
Stack Overflow にCAPTCHAサポートを追加するようです。これは、ボット、スパマー、およびその他の悪意のあるスクリプト アクティビティを防止するために必要です。ここに投稿したり編集したりできるのは人間だけです。
防御の最前線として JavaScript (jQuery) CAPTCHA を使用します。
http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHA
このアプローチの利点は、ほとんどの人にとって CAPTCHA が表示されないことです。
ただし、JavaScript が無効になっている場合は、フォールバックが必要であり、ここが難しいところです。
再利用できるASP.NET 用の従来の CAPTCHA コントロールを作成しました。
ただし、リクエストごとにサーバー上にこれらすべての画像を作成するオーバーヘッドを回避するために、テキストを使用することをお勧めします。
私は次のようなものを見てきました..
- ASCII テキスト キャプチャ:
\/\/(_)\/\/
- 数学パズル: 7 ひく 3 かける 2 とは?
- トリビアの質問: ヒキガエルとアイスキャンディーでは、どちらがおいしいですか?
多分私はここで風車に傾いているだけかもしれません<noscript>
.
アイデア?
sql-server - データベースパスワードを起動スクリプト/設定ファイルに保存する最良の方法は?
したがって、Web サーバー アプリはデータベースに接続する必要があり、他の一部のアプリには、起動時に実行されるスタートアップ スクリプトがあります。
これらのアプリケーションの名前/パスワードを保存する最良の方法は何ですか?
- セキュリティ。たとえば、システム管理者にデータベースのパスワードを知られたくない場合があります。
- 保守性。たとえば、パスワードが変更されたときに構成を簡単に変更できるようにするなど。
Windows と Linux の両方のソリューションに感謝します。
apache-flex - Flash(AS3)を使用してリモートドメインからFlex SWFを呼び出すにはどうすればよいですか?
私はhttp://www.a.com/a.swfでホストされているFlexswfを持っています。SWFをロードしようとする別のdoaminにフラッシュコードがあります。
onLoaderFinishイベントで、リモートSWFからクラスをロードして作成しようとしています。
このコードを実行すると、次の例外が発生します
このコードを機能させる方法はありますか?
java - SFTP経由でサーバーからファイルを取得するにはどうすればよいですか?
Javaを使用して(FTPSではなく)SFTPを使用してサーバーからファイルを取得しようとしています。これどうやってするの?
security - プロキシ サーバーは SSL GET をキャッシュできますか? そうでない場合、応答本文の暗号化で十分でしょうか?
(||任意の) プロキシ サーバーは、クライアントが https 経由で要求したコンテンツをキャッシュできますか? プロキシ サーバーはクエリ文字列や http ヘッダーを認識できないため、認識できないと思います。
私は、会社のプロキシの背後にある多くの人々によって実行されるデスクトップ アプリケーションを検討しています。このアプリケーションはインターネット経由でサービスにアクセスする可能性があり、「読み取り」用に組み込みのインターネット キャッシュ インフラストラクチャを利用したいと考えています。キャッシング プロキシ サーバーが SSL で配信されたコンテンツをキャッシュできない場合、応答のコンテンツを単純に暗号化することは実行可能なオプションでしょうか?
キャッシュ可能にしたいすべてのGETリクエストは、各クライアントが復号化キーを持っている非対称暗号化を使用して暗号化された本文でhttp経由でリクエストすることを検討しています。キャッシュできない GET や POST 操作を実行したい場合はいつでも、SSL 経由で実行されます。
asp.net - LocationProvider
メインのASP.NETアプリケーションのメニューシステムを置き換える必要があります。したがって、当然、ASP.NETSiteMapProvider
とMenu
コントロールを調べています。ただし、ユーザーがアクセスできないURLを直接入力できないようにするための十分なセキュリティも必要です。これを行うには、 web.config<location>
にエントリを配置し、それらを個別に保護しますが、これは複数のWebサーバー間で管理するためのPITAになります。
エントリProvider
に相当するものを提供するために使用できるものはありますか?私はそれを見つけることができませんでした、そしてそれはConfigurationLocationクラス<location>
の存在を考えると少しイライラします。
あるいは、SiteMapProviderに欠けている構成オプションがあり、ユーザーがアクセスすべきでないURLにアクセスすることを制限しますか?