問題タブ [security]

アプリケーション内で、API 呼び出しのハッシュを計算するために秘密鍵を使用しています。.NET アプリケーションでは、Reflector のようなプログラムを使用して、アセンブリから情報を引き出してこれらのキーを含めるのは非常に簡単です。

アセンブリを難読化することは、これらのキーを保護する良い方法ですか?

Cookie の保護に関するJeff のブログ投稿: HttpOnlyを読んだ後。Web アプリケーションに HttpOnly Cookie を実装したいと考えています。

セッションに http のみの Cookie を使用するように tomcat に指示するにはどうすればよいですか?

本当にインストールする必要があるアプリケーションがありますが、JNLP を使用してデプロイすると正常に動作します。

Runtime.execただし、デフォルトのセキュリティ オプションを使用すると、などの一部の Java 関数が機能しないようです。

したがって、そのような機能に依存する UI 機能を 無効にしたいと考えています。

だから私の質問は、特定の機能が利用可能かどうかを実行時にどのように検出するのですか?

もちろん、ここでのケーススタディはRuntime.exec.

私が現在取り組んでいるシステムには、ロールベースのセキュリティが必要ですが、これは Java EE スタックで十分に対応できます。このシステムは、ビジネス ドメインの専門家がコードを作成するためのフレームワークになることを目的としています。

ただし、データの要件もありますsecurity。つまり、エンド ユーザーに表示される情報です。

これは事実上、データベース内の行 (および場合によっては列) の可視性を低下させることを意味します。

永続化のために Hibernate を使用しています。ただし、永続化の選択がビジネス ドメインの専門家に公開されないように、独自の注釈を使用しています。

@Secured行ベースのセキュリティの場合、これは、エンティティ レベルなどで注釈を追加できることを意味します。これにより、基になるテーブルに追加の列が追加され、選択が制限されますか?

列ベースのセキュリティの場合、@Securedおそらくクエリの生成を支援するか、アスペクトを使用して返された情報をフィルタリングする必要があるでしょうか?

これが休止状態のキャッシュメカニズムにもどのように影響するか知りたいですか?

他の多くの人も同じ問題を抱えていると思いますが、どうやってこれに取り組んだのだろうと思っていましたか?

とても有難い...

PHP apps自分のCookieをとして設定するにはどうすればよいHttpOnly cookiesですか？

jqueryajaxを使用して更新をサーバーにポストバックしています。AJAX呼び出しのみがデータを投稿できるように、適切な対策を講じていることを確認する必要があります。

私のスタックは、MySQLバックエンドに対するApache上のPHPです。

アドバイスは大歓迎です！

ローカル Windows アカウントを実行している Windows サービスでホストされている wcf アプリケーションがあります。このアカウントに SPN を設定する必要がありますか? その場合、SPN を設定する必要があるプロトコルは何ですか? HTTP を介したサービスに対してこれを行う方法は知っていますが、net.tcp に対しては行ったことはありません。

Twitter をブログのコメント システムと統合するために、basic-auth Twitter API (使用できなくなりました) を使用しています。この Web API や他の多くの Web API の問題は、有用なことを行うためにユーザーのユーザー名とパスワードが必要になることです。SSL 証明書をインストールする手間とコストに対処したくありませんが、ネットワーク上でパスワードがクリア テキストで渡されることも望ましくありません。

私の一般的な質問は次のとおりだと思います:安全でないチャネルを介して機密データを送信するにはどうすればよいですか?

これが私の現在の解決策であり、穴があるかどうかを知りたいです:

1. サーバーでランダムなキーを生成します (私は php を使用しています)。
2. キーをセッションに保存し、キーを javascript 変数に出力します。
3. フォームの送信時に、javascript でトリプル DESとキーを使用してパスワードを暗号化します。
4. サーバーで、セッションのキーを使用してパスワードを復号化し、セッションを破棄します。

最終的には、暗号化されたパスワードのみがネットワーク経由で送信され、キーは 1 回だけ使用され、パスワードと共に送信されることはありません。問題が解決しました？

正確に 2 つのキー (パスワードベースの可能性があります) を使用してデータ暗号化を実現し、データを復号化するには 2 つのキーのうちの 1 つ (いずれか 1 つ) のみを必要とするための基本は何ですか?

たとえば、データはユーザーのパスワードと会社のパスワードで暗号化され、ユーザーまたは会社はデータを復号化できます。どちらも他のパスワードを知りません。暗号化されたデータのコピーは 1 つだけ保存されます。

公開鍵/秘密鍵という意味ではありません。おそらく対称鍵暗号化を介しており、鍵を XOR して暗号化に使用するようなものかもしれません。

更新:キーの保存をまったく必要としないソリューションも見つけたいと思います。

私のウェブサイトは最近、無害なコードのように見えました:

そこには SQL 呼び出しがないので、SQL インジェクションを恐れませんでした。しかし、明らかに、インジェクションの種類は SQL だけではありません。

この Web サイトには、コード インジェクションを回避するための説明といくつかの例があります。

このコードをコード インジェクションからどのように保護しますか?