2回答
存储过程是否比对数据库使用LINQ更安全?
sql-server、security、entity-framework
我不是一个安全专家,在我的项目中有一个关于我们是否应该使用实体框架的讨论。尽管看起来我们会使用它,但项目负责人仍然坚持认为,出于安全性的考虑,我们仍然应该使用存储过程来执行所有操作(包括简单的CRUDs)。他说,如果我们使用存储过程,用户将只需要执行存储过程的权限,而不需要创建/读取/更新/删除的权限。
正如我之前说过的,我不是安全专家,所以我很好奇这是不是真的。
浏览 15提问于2011-05-27得票数 2
2回答
为什么数据库密码存储在WordPress中wp-config.php中的纯文本中,安全性问题?
php、wordpress
我想知道为什么数据库密码和登录数据存储在wp-config.php文件中的纯文本中。这不是一个安全问题吗?解决这个问题是一个很好的实践吗?我不是一个安全专家,但我学到的是,第一个安全步骤将是存储密码,而不是纯文本。其次,使用另一个文件将密码存储在其中。我知道,最新的安全使用哈希,包括盐碱化密码。
或者有没有其他我不知道的安全措施?
浏览 0提问于2019-09-02得票数 1
回答已采纳
1回答
在本地或会话存储中存储基本用户凭据令牌安全吗?
javascript、firebase、firebase-authentication
为了提高我在页面重新加载上的响应应用程序的性能,我将用户凭据存储在本地存储中,并在注销时清除它们。但是现在用户经常不注销,用户凭据可以在本地存储很长时间,我认为这会导致一些安全漏洞吗?我不是消防安全方面的专家,所以有人能解释一下它是否安全吗?
浏览 4提问于2020-02-11得票数 4
回答已采纳
5回答
最安全的数据存储?
attack-prevention
专家建议的目前最安全的数据存储是什么,即将数字数据存储在数字媒体中(而不是将数据复制到纸张或其他类型的媒体,而不是数字媒体)。我的意思是,从电磁脉冲炸弹,磁铁,和其他数字世界的威胁,如黑客或实物财产盗窃安全。某种安全的,对EMP或其他外部字段免疫(?)
例如,存储我的文档、照片存档和其他私有数据。我的意思是,我不信任云计算,也不信任那些可以轻松访问存储在他们服务器上的数据的大型组织。
浏览 0提问于2012-02-02得票数 11
回答已采纳
3回答
哈希与“单向加密”
password-management
在开发网站应用程序时,我和一位朋友问了一位安全专家(在IBM工作)如何处理存储密码。经过数小时的google搜索(导致了security.stackexchange.com的几个小时的探索),我认为只要数据库中包含salt的用户数据库是安全的,只要它是一个每个用户的salt和一个缓慢的散列算法这位安全专家说,如果DB被破坏了,那么一切都被破坏了,这是真的。他建议“单向加密”.我不太明白。根据定义,哈希不是一种方式,而加密,从定义上来说,不是吗?
如果有人能澄清这件事,那就太好了。
浏览 0提问于2015-02-02得票数 17
回答已采纳
2回答
password to openssl_encrypt生成密钥的正确方法
php、security、encryption、openssl、aes
我不是安全专家,但我必须在PHP中使用openssl对文件进行加密和解密,这样用户就可以为加密定义密码。我使用aes-256-gcm作为密码方法。我生成安全密钥的实际代码是:$key = openssl_pbkdf2($password, $salt, 32, 10000, 'sha256');
我将生成
浏览 0提问于2020-06-23得票数 0
1回答
KMS数据密钥对是否安全?
amazon-kms、key-pair
目前,我用Java编程生成从未存储过的密钥对。
但是由于我不是一个安全专家,我想也许使用AWS KMS来创建密钥对更好。因此,我需要的似乎是一个CMK,它可以生成存储在KMS中的data key pairs。如果它们存储在KMS中,并且我可以在任何时候获取私钥,那么这怎么比根本不存储它更安全呢?或者KMS的目的仅仅是为了安全地存储密钥?
浏览 4提问于2022-11-09得票数 0
回答已采纳
1回答
如何评价“伦理黑客和渗透测试”任务?
penetration-test
他将试图破坏我的系统/网站的安全。显然,我不是安全专家,所以我如何判断:“安全专家”不足以入侵它..。
浏览 0提问于2016-12-17得票数 1
0回答
存储信用卡信息与重新键入信息
security
这是一个一般性的安全问题,可能会在讨论中结束。我开始把这个问题放在信息安全网站上,但那个网站是为安全专家准备的,而我不是专家。一般来说,是将信用卡存储在网站上更安全,还是每次都重新输入信息更安全?
我看到的权衡是通过网络多次发送数据,路径上的任何点都可能被泄露,而不是让它留在服务器上供黑客使用。我猜在购物时,卡信息必须再次通过网络,即使它被保存在服务器上,尽管跳数会更少,所以在网站上保存信息可能没有安全优势。
浏览 6提问于2017-12-07得票数 0
回答已采纳
2回答
将密钥库存储在公共存储库中的安全含义
security、cryptography、keystore
将密钥库与源代码一起存储在公共存储库中会带来什么安全隐患?谢谢
浏览 3提问于2010-10-19得票数 2
2回答
信任公司进行信息存储?
trust
当我们键入创建一个帐户并添加诸如我们的地址和工作地点这样的详细信息时,从来没有说过这些信息的存储和安全程度如何。那么,我们如何知道我们可以信任一个网站是安全的呢?如果所有内容都以纯文本形式存储,或者如果它们要出售这些信息,该怎么办?有没有办法在不需要安全专家的情况下验证这一点?谢谢。
浏览 0提问于2016-07-06得票数 1
回答已采纳
1回答
在没有数据库安全的情况下,密码重置令牌是否安全?
php、security、passwords、bcrypt
正确的实现建议在数据库中存储随机的盐渍令牌哈希和过期日期。但是我偶然发现了一个不把令牌存储在数据库中的解决方案:
我正在考虑使用上面的内容,但是将sha1()替换为使用PASSWORD_BCRYPT的password_hash()。在我看来不错,但我不是安全专家。以上无数据库选项是否安全?如果不是为什么?
浏览 0提问于2013-09-13得票数 0
回答已采纳
3回答
关于移动应用程序安全的最佳做法
security、mobile
最近一位朋友问我关于移动应用程序和它们周围的安全性的问题。由于他希望开发一个移动应用程序来处理非常安全的信息,比如信用卡号码,我开始怀疑这些设备的安全性问题。在移动应用程序中存储敏感信息似乎合理吗?我对此感到奇怪,因为我看到dex在网上将类java反编译器分类,并且我设想在任何移动设备上都没有卫士能够保证安全位置上的数据安全到他们希望您相信的程度。但是,我不是这些事情的专家,我觉得我是一个陌生人,当谈到安全的奇妙世界时。所以我问你这个问题,安全
浏览 0提问于2011-10-19得票数 4
1回答
这种存储密码的方式有多安全?
php、security、hash、saltedhash
我理解并认识到,与使用Google或Facebook等服务相比,在我自己的数据库中存储密码是一个巨大的安全漏洞,但我想知道是否可以使用以下代码来使用咸散列表安全地存储用户名和密码:我相信它很安全,但我不是专家。我觉得这样会更好,是吗?$salt1, PASSWORD_BCRYPT);
我是否更接近于找到一个合适的机制来存储密码?
浏览 1提问于2015-01-19得票数 0
回答已采纳
1回答
在使用CBC加密时,前缀的“垃圾”是否等同于IV?
aes、initialization-vector、cbc
我们正在考虑两种方法来保证这种安全性;使用一个初始向量(然后我们也需要存储它),或者在加密之前将一些垃圾添加到整数(可能有6个字符,这是我们可以加密到存储123的明文:"fI8cW3123")。第二种方法对我们来说似乎更好(我们只存储一个值,并在解密时“发现”IV ),但我们不是密码学专家。这是危险还是不那么安全?
浏览 0提问于2013-04-18得票数 2
回答已采纳
1回答
如何最大限度地提高应用程序数据库的安全性?
database、security、mobile、storage
在安全性方面,除了在存储服务器公司购买一个非常昂贵的帐户,以及一个优秀的开发人员之外,我还需要担心什么?我需要他们使用什么技术(用于数据库)?我是否需要安全专家的服务,或者存储公司的昂贵帐户就可以完成这项工作?要花多少钱?提前感谢
浏览 0提问于2015-02-12得票数 1
6回答
如何成为安全领域专家?
security
我正在考虑转行,成为一名安全领域专家。我该如何开始?我将感谢任何教程,书籍,博客,这将帮助我获得安全领域的知识。
我想把重点放在无线安全领域。
浏览 1提问于2009-10-03得票数 4
回答已采纳
1回答
salt在Rails的has_secure_password中是如何工作的
ruby-on-rails、ruby、security、salt
根据我对salting的理解,为了使加密的密码更安全,我会生成一个随机数( salt),并将其与散列密码一起存储在用户记录中(例如)。我会将salt与明文密码连接在一起,然后对其进行加密(散列)。看看和bcrypt_ruby (公开:我不是安全专家),我不明白这是怎么做到的,因为用户记录中唯一存储的就是散列密码。盐在哪?
浏览 0提问于2012-06-13得票数 13
1回答
如果白盒审核也是可能的话,黑盒渗透测试是否有意义?
penetration-test、audit、source-code
假设我负责公司的一个应用程序,我决定雇用安全专家来执行安全审核。让我们进一步假设我的公司拥有应用程序的源代码,并且允许我将其交给雇用的专家。
有什么好的理由比安全源代码审查更喜欢黑盒渗透测试吗?为什么我要让安全专家在黑暗中锤击我的应用程序,因为我可以向他提供内部信息,如系统配置和源代码,以帮助他更好地指导他的工作。为了避免混淆--当我谈到安全源代码审查时,我假设我将允许安全专家对应用程序执行测试,验证他们的发现并尝试
浏览 0提问于2011-10-07得票数 7
回答已采纳
1回答
加密会话令牌与存储的随机会话令牌
authentication、session-management、risk-management、token
我正在构建一个web,我很难在加密会话令牌和存储的随机会话令牌之间进行选择,以便进行用户身份验证。我看到了每个人的优点和缺点:非常随机,碰撞风险可忽略不计;在数据库插入过程中还可以进行额外的唯一检查。加密会话令牌(使用“userId,expiryTime”与存储在后端的公用对称密钥的强加密组合) 不需要存储它们(不需要额外的网络调用)--会话令牌的对称解密将更快不能撤销代币
浏览 0提问于2015-09-20得票数 2
回答已采纳
云服务器
ICP备案
对象存储
云点播
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号