Articles of segurança de

Serviços da Web seguros: REST sobre HTTPS versus SOAP + WS-Security. Qual é melhor?

Eu não sou um especialista em segurança de forma alguma, mas sou a favor de criar serviços da Web no estilo REST. Na criação de um novo serviço que precisa ter os dados que ele transmite seguros. Entramos em um debate sobre qual abordagem é mais segura – REST com HTTPS ou SOAP WS com […]

Como determinar dinamicamente o valor do atributo de access no Spring Security?

Na Spring Security, usamos a tag intercept-url para definir o access de URLs, conforme abaixo: Isso é codificado em applicationContext-security.xml . Eu quero ler os valores de access de uma tabela de database. Eu defini meu próprio UserDetailsService e li as funções do usuário conectado a partir do database. Como atribuo essas funções aos padrões […]

Armazenando documentos como Blobs em um database – Quaisquer desvantagens?

Os requisitos para o meu sistema de gerenciamento de documentos eram: Deve ser seguro contra roubo por simples cópia de diretórios, arquivos etc. Deve ser seguro contra a infecção por vírus tradicional (infecção de arquivo físico) Deve ser rápido para recuperar O repository não deve estar visível para usuários de navegação casuais (diretório) etc. Eu […]

O mais simples e mais limpo c + + 11 ScopeGuard

Eu estou tentando escrever um ScopeGuard simples baseado em conceitos Alexandrescu, mas com idiomas c ++ 11. namespace RAII { template class ScopeGuard { mutable bool committed; Lambda rollbackLambda; public: ScopeGuard( const Lambda& _l) : committed(false) , rollbackLambda(_l) {} template ScopeGuard( const AdquireLambda& _al , const Lambda& _l) : committed(false) , rollbackLambda(_l) { _al(); } […]

Por que o Ajax entre domínios é uma preocupação de segurança?

Por que foi decidido que o uso de XMLHTTPRequest para fazer chamadas XML não deveria fazer chamadas através do limite de domínio? Você pode recuperar JavaScript, imagens, CSS, iframes e qualquer outro conteúdo que eu possa imaginar de outros domínios. Por que as solicitações HTTP do Ajax não têm permissão para cruzar os limites do […]

Como limitar setAccessible apenas para usos “legítimos”?

Quanto mais eu aprendi sobre o poder de java.lang.reflect.AccessibleObject.setAccessible , mais surpreso estou com o que ele pode fazer. Isso é adaptado da minha resposta para a pergunta ( usando a reflection para alterar o arquivo final estático File.separatorChar para teste de unidade ). import java.lang.reflect.*; public class EverythingIsTrue { static void setFinalStatic(Field field, Object […]

Como posso proteger o nome de usuário e senha do MySQL de descompilar?

Os arquivos Java .class podem ser decompilados com bastante facilidade. Como posso proteger meu database se tiver que usar os dados de login no código?

Expondo IDs de database – risco de segurança?

Ouvi dizer que expor IDs de database (em URLs, por exemplo) é um risco de segurança, mas estou tendo problemas para entender por quê. Quaisquer opiniões ou links sobre por que é um risco, ou porque não é? EDIT: claro que o access é escopo, por exemplo, se você não pode ver o recurso foo?id=123 […]

Qual é a melhor maneira de implementar um dictionary seguro para thread?

Consegui implementar um Dictionary seguro em thread em C # derivando de IDictionary e definindo um object SyncRoot privado: public class SafeDictionary: IDictionary { private readonly object syncRoot = new object(); private Dictionary d = new Dictionary(); public object SyncRoot { get { return syncRoot; } } public void Add(TKey key, TValue value) { lock […]

Por que usar a function eval do JavaScript é uma má ideia?

A function eval é uma maneira poderosa e fácil de gerar código dinamicamente, então, quais são as ressalvas?