Articles of security

AngularJS muda os URLs para “inseguro:” na página de extensão

Estou tentando usar o Angular com uma lista de aplicativos, e cada um deles é um link para ver um aplicativo com mais detalhes ( apps/app.id ): {{app.name}} Toda vez que clico em um desses links, o Chrome mostra o URL como unsafe:chrome-extension://kpbipnfncdpgejhmdneaagc…/apps/app.id De onde vem o unsafe: ?

Posso proteger contra Injeção de SQL escapando as inputs de usuário de aspas simples e circunvizinhas com aspas simples?

Eu percebo que consultas SQL parametrizadas são a maneira ideal de limpar a input do usuário ao criar consultas que contenham input do usuário, mas eu estou querendo saber o que está errado em pegar a input do usuário e escaping de aspas simples e cercar toda a string com aspas simples. Aqui está o […]

Por que o Google precede enquanto (1); às suas respostas JSON?

Por que o Google precede while(1); às suas respostas JSON (privadas)? Por exemplo, aqui está uma resposta ao ativar e desativar um calendar no Google Agenda : while(1);[[‘u’,[[‘smsSentFlag’,’false’],[‘hideInvitations’,’false’], [‘remindOnRespondedEventsOnly’,’true’], [‘hideInvitations_remindOnRespondedEventsOnly’,’false_true’], [‘Calendar ID stripped for privacy’,’false’],[‘smsVerifiedFlag’,’true’]]]] Eu diria que isso é para impedir que as pessoas façam um eval() sobre ele, mas tudo que você realmente […]

Práticas recomendadas para proteger uma API REST / serviço da web

Ao projetar uma API ou serviço REST, existem práticas recomendadas para lidar com segurança (Autenticação, Autorização, Gerenciamento de Identidade)? Ao criar uma API SOAP, você tem o WS-Security como um guia e existe muita literatura sobre o tópico. Eu encontrei menos informações sobre como proteger endpoints REST. Embora eu entenda que o REST intencionalmente não […]

Como você evita propriedades de usuário duplicadas no Firebase?

Estou usando o FirebaseSimpleLogin para criar usuários e lidar com autenticação. Quando tento criar um novo usuário com login simples por meio do método $createUser() , o Firebase não cria o usuário se o endereço de e-mail já tiver sido usado. No entanto, também estou usando $set() para salvar meus usuários criados no meu Firebase […]

Como as instruções preparadas podem proteger contra ataques de injeção de SQL?

Como as instruções preparadas nos ajudam a evitar ataques de injeção de SQL ? Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser corretamente ignorados. Se o modelo da instrução original não for derivado da input externa, […]