Articles of security

Solicitações AJAX entre sites

Eu preciso fazer um pedido AJAX de um site para um serviço web REST hospedado em outro domínio. Embora isso funcione muito bem no Internet Explorer, outros navegadores, como o Mozilla eo Google Chrome, impõem restrições de segurança muito mais rígidas, que proíbem solicitações AJAX entre sites. O problema é que não tenho controle sobre […]

HashSet Concorrente no .NET Framework?

Eu tenho a seguinte class. class Test{ public HashSet Data = new HashSet(); } Eu preciso alterar o campo “Data” de diferentes threads, então eu gostaria de algumas opiniões sobre a minha atual implementação thread-safe. class Test{ public HashSet Data = new HashSet(); public void Add(string Val){ lock(Data) Data.Add(Val); } public void Remove(string Val){ lock(Data) […]

AngularJS muda os URLs para “inseguro:” na página de extensão

Estou tentando usar o Angular com uma lista de aplicativos, e cada um deles é um link para ver um aplicativo com mais detalhes ( apps/app.id ): {{app.name}} Toda vez que clico em um desses links, o Chrome mostra o URL como unsafe:chrome-extension://kpbipnfncdpgejhmdneaagc…/apps/app.id De onde vem o unsafe: ?

Posso proteger contra Injeção de SQL escapando as inputs de usuário de aspas simples e circunvizinhas com aspas simples?

Eu percebo que consultas SQL parametrizadas são a maneira ideal de limpar a input do usuário ao criar consultas que contenham input do usuário, mas eu estou querendo saber o que está errado em pegar a input do usuário e escaping de aspas simples e cercar toda a string com aspas simples. Aqui está o […]

Por que o Google precede enquanto (1); às suas respostas JSON?

Por que o Google precede while(1); às suas respostas JSON (privadas)? Por exemplo, aqui está uma resposta ao ativar e desativar um calendar no Google Agenda : while(1);[[‘u’,[[‘smsSentFlag’,’false’],[‘hideInvitations’,’false’], [‘remindOnRespondedEventsOnly’,’true’], [‘hideInvitations_remindOnRespondedEventsOnly’,’false_true’], [‘Calendar ID stripped for privacy’,’false’],[‘smsVerifiedFlag’,’true’]]]] Eu diria que isso é para impedir que as pessoas façam um eval() sobre ele, mas tudo que você realmente […]

Práticas recomendadas para proteger uma API REST / serviço da web

Ao projetar uma API ou serviço REST, existem práticas recomendadas para lidar com segurança (Autenticação, Autorização, Gerenciamento de Identidade)? Ao criar uma API SOAP, você tem o WS-Security como um guia e existe muita literatura sobre o tópico. Eu encontrei menos informações sobre como proteger endpoints REST. Embora eu entenda que o REST intencionalmente não […]

Como você evita propriedades de usuário duplicadas no Firebase?

Estou usando o FirebaseSimpleLogin para criar usuários e lidar com autenticação. Quando tento criar um novo usuário com login simples por meio do método $createUser() , o Firebase não cria o usuário se o endereço de e-mail já tiver sido usado. No entanto, também estou usando $set() para salvar meus usuários criados no meu Firebase […]

Como as instruções preparadas podem proteger contra ataques de injeção de SQL?

Como as instruções preparadas nos ajudam a evitar ataques de injeção de SQL ? Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser corretamente ignorados. Se o modelo da instrução original não for derivado da input externa, […]