• [解決済み] JWTはlocalStorageとcookieのどちらに保存するべきか?重複

    質問 この質問はすでにここに回答があります : ブラウザのどこにJWTを格納するのか?CSRFを防ぐには? (6つの回答) 終了 1年前

    2022-06-25 01:55:09
  • [解決済み] コマンドの標準入力に変数の値を渡すには?

    質問 シェルスクリプトを書いていますが、ある程度安全でなければなりません。つまり、コマンドのパラメータを通して安全なデータを渡さず、できれば一時ファイルを使用しないようにします。コマンドの標準入力に変数を渡すにはどうしたらよいでしょうか。 あるいは、それが不可能な場合、そのようなタスクのために一時ファイルを正しく使用するにはどうしたらよいでしょうか。 どのように解決するのですか?

    2022-06-03 19:30:37
  • [解決済み] 分散ブルートフォースへの最適な対策は?

    質問 まず、背景を少し説明します。私がCodeIgniterに認証システムを実装していることは周知の事実で、今のところ私は(いわば)勝利を収めています。しかし、私はかなり非自明な課題(ほとんどの認証ライブラリが完全に見逃しているものですが、私はそれを適切に処理することにこだわります)にぶつかりました:どのようにインテリジェントに 大規模、分散、可変ユーザー名ブルートフォース攻撃 .

    2022-05-30 12:07:44
  • [解決済み] APIキーとシークレットキーはどのように機能するのですか?APIキーやシークレットキーを他のアプリケーションに渡すのは安全ですか?

    質問 apiキーと秘密鍵の仕組みについて考え始めたところです。 ちょうど2日前、私はAmazon S3にサインアップし、インストールされた S3Foxプラグイン . アクセスキーとシークレットアクセスキーの両方を要求されましたが、どちらもアクセスするためにログインが必要です。 そこで疑問なのですが、もし彼らが私のシークレットキーを尋ねるのであれば、彼らはそれをどこかに保存している

    2022-05-14 05:20:08
  • [解決済み] Google Authenticatorが公共サービスとして利用可能に?

    質問 を使用するための公開APIはありますか? Google 認証システム (二要素認証)を自走式(LAMPスタックなど)のウェブアプリで利用できますか? 解決方法は? その プロジェクト はオープンソースです。私は使ったことがありません。しかし、文書化されたアルゴリズムを使用しており(オープンソースプロジェクトのページに記載されているRFCに記載されています)、認証機

    2022-05-04 09:57:27
  • [解決済み] チェックボックスリキャプチャの仕組みと使い方を教えてください。

    質問 最近、oneplusoneのサイトに登録しました。 https://account.oneplus.net/sign-up そして、このチェックボックスのRecaptchaに気づきました。 どのように機能し、どのように私のサイトで使用することができますか?暗号のような言葉や数字よりずっといい:) Recaptchaのサイトでは、新しいRecaptchaの方法につ

    2022-04-28 09:37:56
  • [解決済み] HTTP基本認証で使用されるBase64エンコーディングの目的、理由を教えてください。

    質問 Base64の暗号化ができないのですが。 Base64の文字列を復号化できたとして、その目的は何でしょうか? なぜ、HTTP Basic認証に使用されているのですか? パスワードがオレに逆転していると言っているようなものだ。 OLLEHを見た人は、元のパスワードがHELLOであることを知ることになります。 解決方法は? Base64は暗号化ではなく、エンコーディ

    2022-04-27 05:24:45
  • [解決済み] パスワードのハッシュ化と暗号化の違いについて

    質問 現在の上位投票先 この質問 の状態です。 もうひとつは、セキュリティに関連することではありますが、セキュリティ問題というほどでもない、完全で忌々しい失敗です。 パスワードのハッシュ化と暗号化の違いを理解する。 . プログラマが安全でない "Remind me of my password" 機能を提供しようとしているコードで最もよく見受けられます。

    2022-04-25 20:54:05
  • [解決済み] ベストプラクティス。パスワードのソルティングとペパリング?

    質問 あるディスカッションで、私がやっていたのは実はパスワードの塩漬けではなく、ペパリングだったということを知り、それ以来、このような関数で両方をやるようになりました。 hash_function($salt.hash_function($pepper.$password)) [multiple iterations] 選択したハッシュアルゴリズム(特定のアルゴリズムではなく、ソルト

    2022-04-23 09:28:14
  • [解決済み] reCaptchaはクラックされましたか?[クローズド]

    質問 <パス この質問は、将来の訪問者の役に立ちそうもありません。狭い地域、特定の瞬間、または極めて狭い状況にのみ関連しており、インターネットの世界中の視聴者に一般的に適用できるものではありません。この質問をより広く適用できるようにするために ヘルプセンターへ .

    2022-04-22 17:30:03
  • [解決済み] SSOはCASかOAuthか?

    質問 を使うべきでしょうか? CAS プロトコルか OAuth + シングルサインオンを実現するための認証プロバイダです。 シナリオの例 ユーザーが保護されたリソースにアクセスしようとしたが、認証されていない。 アプリケーションは、ユーザーをSSOサーバーにリダイレクトする。 認証された場合、ユーザーはSSOサーバーからトークンを取得する。 SSOは元のア

    2022-04-21 19:43:54
  • [解決済み】Dockerとパスワードの保護

    質問 最近、Dockerを使っていくつかのサービスを作って遊んでいるのですが、ずっと気になっているのが、Dockerfileにパスワードを入れることです。私は開発者なので、パスワードをソースに保存することは、顔面を殴られたような感じがします。これは気にする必要があるのでしょうか?Dockerfileでパスワードをどのように扱うかについて、何か良い規約があるのでしょうか? どのように解決す

    2022-04-20 23:33:19
  • [解決済み] HTTP_REFERERはどのような場合に空になるのでしょうか?

    質問 空のHTTP_REFERERを取得することが可能であることは知っています。これはどのような状況で起こるのでしょうか?もし空の HTTP_REFERER を受け取った場合、それは常にユーザがそれを変更したことを意味するのでしょうか? 空のHTTP_REFERERを取得することは、NULLを取得することと同じなのでしょうか? 解決方法は? エンドユーザが、このような場合、空になる可

    2022-04-20 04:55:57
  • [解決済み] パスワードの長さに上限を設けるべきですか?

    質問 パスワードに最小限の長さを課すことは非常に理にかなっている(ユーザーを自分自身から救うため)ことは理解できますが、私の 銀行 は、パスワードの長さを6文字以上8文字以下とすることを要求しています。 これでは、ブルートフォースアタック(総当り攻撃)が容易になるだけでは?(悪い) 私のパスワードは暗号化されずに保存されているということですか?(悪い) もし、(できれ

    2022-04-15 16:52:37
  • [解決済み] HTTPS(HTTP + SSL)において、クエリストリングパラメーターは安全ですか? [重複している]。

    質問 <余談 この質問には、すでにここで回答があります : HTTPSのクエリ文字列は安全ですか? (9件) 閉店 <スパン 2年前 .

    2022-03-25 18:53:46
  • [解決済み] HTTPクッキーはポート指定ですか?

    質問 私は1台のマシンで2つのHTTPサービスを動かしています。私はただ、それらがクッキーを共有するのか、それともブラウザが2つのサーバーソケットを区別するのか知りたいだけです。 解決方法は? 現在のCookieの仕様は RFC 6265 を置き換えたものです。 RFC 2109 と RFC 2965 (両方のRFCは現在&quot;Historic&quot;と

    2022-03-24 18:41:59
  • [解決済み] プログラマーが知っておくべきセキュリティの知識とは?[クローズド]

    質問 閉店 . この質問は オピニオンベース . 現在、回答は受け付けておりません。 <パス この質問を改善したいですか? 質問を更新して、事実と引用で答えられるようにする。 この投稿を編集する . 閉店

    2022-03-23 04:16:53
  • [解決済み] ブラウザの「パスワードの保存」機能を無効にする

    質問 政府系医療機関で働く楽しみの一つは、PHI(保護されるべき医療情報)の取り扱いに関するあらゆるパラノイアに対処しなければならないことです。誤解を恐れずに言えば、私は人々の個人情報(健康、金銭、ネットサーフィンなど)を保護するために可能な限りのことをすることに賛成ですが、時には人々が少し神経質になりすぎることがあります。 その例です。ある国のお客様は、最近、ブラウザがパスワードを保存

    2022-03-21 21:20:55
  • [解決済み] JWTは解読できても、安全性はどうなのか?

    質問 を取得した場合 JWT ペイロードをデコードすることができますが、それはどのように安全なのでしょうか?ヘッダーからトークンを取り出し、ペイロードのユーザー情報をデコードして変更し、同じように正しくエンコードされたシークレットを付けて送り返すことはできないのでしょうか? セキュアでなければならないことは分かっているのですが、どうしてもその技術を理解したいのです。何が足りないの

    2022-03-20 07:14:17
  • [解決済み] 後で平文を取り出すためのユーザーパスワードの保管について、倫理的にどのように取り組むべきでしょうか?

    質問 <パス ロックされた . この質問とその回答は ロック なぜなら、この質問はトピックから外れているものの、歴史的な意義があるからです。現在、新しい回答や交流は受け付けていません。 私は、より多くのウェブサイトやウェブアプリケーションを作り続けている

    2022-03-19 22:55:11