Articles of segurança do

Método preferido de armazenar senhas no database

Qual é o seu método preferido / tipo de dados para armazenar senhas em um database (preferencialmente SQL Server 2005). A maneira que tenho feito isso em vários de nossos aplicativos é primeiro usar as bibliotecas de criptografia .NET e armazená-las no database como binário (16). Esse é o método preferido ou devo usar um […]

O access ao registro solicitado não é permitido

Estou escrevendo um utilitário tweak que modifica algumas chaves em HKEY_CLASSES_ROOT . Tudo funciona bem no Windows XP e assim por diante. Mas estou recebendo erro Requested registry access is not allowed no Windows 7. Vista e 2008 eu acho que também. Como devo modificar meu código para adicionar suporte ao UAC?

Por que o OAuth v2 tem access e atualização de tokens?

A seção 4.2 do protocolo preliminar OAuth 2.0 indica que um servidor de autorização pode retornar um access_token (que é usado para autenticar-se com um recurso), bem como um refresh_token , que é usado apenas para criar um novo access_token : https://tools.ietf.org/html/rfc6749#section-4.2 Por que ambos? Por que não apenas fazer o access_token durar tanto quanto […]

Melhores práticas ao executar o Node.js com a porta 80 (Ubuntu / Linode)

Estou configurando meu primeiro servidor Node.js em um cloud Linux node na cloud Linux node e sou relativamente novo nos detalhes do Linux admin do Linux admin . (BTW eu não estou tentando usar o Apache ao mesmo tempo.) Tudo está instalado corretamente, mas descobri que, a menos que eu use o root login , […]

Criptografar senha em arquivos de configuração?

Eu tenho um programa que lê informações do servidor de um arquivo de configuração e gostaria de criptografar a senha nessa configuração que pode ser lida pelo meu programa e descriptografada. Requisitos: Criptografar senha em texto simples para ser armazenada no arquivo Descriptografar a senha criptografada do arquivo do meu programa Quaisquer recomendações sobre como […]

Prorrogação automática de expiração do JWT (JSON Web Token)

Eu gostaria de implementar a autenticação baseada em JWT para nossa nova API REST. Mas como a expiração é definida no token, é possível prolongá-lo automaticamente? Não quero que os usuários precisem fazer login após cada X minutos se estiverem usando ativamente o aplicativo nesse período. Isso seria uma enorme falha de UX. Mas prolongar […]

Como resolver o Java `SecureRandom` lento?

Se você quiser um número random criptograficamente forte em Java, use SecureRandom . Infelizmente, o SecureRandom pode ser muito lento. Se ele usa /dev/random no Linux, ele pode bloquear a espera de uma entropia suficiente para construir. Como você evita a penalidade de desempenho? Alguém já usou o Uncommon Maths como uma solução para este […]

A diferença entre a conta ‘Sistema local’ e a conta ‘Serviço de rede’?

Eu escrevi um serviço do Windows que gera um processo separado. Este processo cria um object COM. Se o serviço for executado na conta ‘Sistema Local’, tudo funcionará bem, mas se o serviço for executado na conta ‘Serviço de Rede’, o processo externo será iniciado, mas não criará o object COM. O erro retornado da […]

Como o SQLParameter impede a injeção de SQL?

O que exatamente está acontecendo em segundo plano que faz com que o SQLParameter impeça ataques de Inseção SQL em uma consulta .NET Parameterized? É apenas eliminar algum personagem suspeito ou há algo mais nisso? Alguém aí verificou o que realmente chega ao SQL Server quando você passa uma input mal-intencionada? Relacionado: Você pode usar […]