Articles of security

Autorizzazione negata a hdfs

Sono nuovo nel file system distribuito hadoop, ho fatto l’installazione completa di hadoop single node sulla mia macchina. Dopo di che, quando ho intenzione di caricare i dati su hdf, mi viene dato un messaggio di errore Permission Denied . Messaggio dal terminale con comando: hduser@ubuntu:/usr/local/hadoop$ hadoop fs -put /usr/local/input-data/ /input put: /usr/local/input-data (Permission denied) […]

Gruppo utenti e gestione ruoli in .NET con Active Directory

Attualmente sto ricercando metodi per l’archiviazione di ruoli utente e autorizzazioni per progetti basati su .NET. Alcuni di questi progetti sono basati sul web, altri no. Attualmente sto lottando per trovare il metodo migliore per ottenere ciò che sto cercando in un modo coerente e portatile tra i diversi tipi di progetti. Dove mi trovo, […]

Come posso evitare gli attacchi SQL injection nella mia applicazione ASP.NET?

Devo evitare di essere vulnerabile all’iniezione SQL nella mia applicazione ASP.NET. Come potrei realizzare questo?

Le query mysql dinamiche con sql escaping sono altrettanto sicure delle istruzioni preparate?

Ho un’applicazione che trarrebbe grande beneficio dall’utilizzo di query mysql dinamiche in combinazione con una vera stringa di escape mysql (mysqli). Se eseguissi tutti i dati ricevuti dall’utente tramite mysql real escape, sarebbe altrettanto sicuro quanto usare le istruzioni preparate su mysql?

Come implementare una possibilità per l’utente di pubblicare alcuni dati in formato html in modo sicuro?

Ho una textarea e voglio supportare una formattazione più semplice per i dati pubblicati (almeno, spazi bianchi e interruzioni di riga). Come posso raggiungere questo objective? Se non risparmierò la risposta e manterrai alcuni tag html, sarà un grande buco di sicurezza. Ma non vedo altre soluzioni che consentano la formattazione del testo nel browser. […]

Come configura i cookie HttpOnly nelle applicazioni web di tomcat / java?

Dopo aver letto il post sul blog di Jeff su Protezione dei cookie: HttpOnly . Mi piacerebbe implementare i cookie HttpOnly nella mia applicazione web. Come si dice a Tomcat di utilizzare i cookie solo http per le sessioni?

Hashing password Asp.net Identity

Il nuovo progetto ASP.net Identity ha portato un po ‘di codice e interfacce utili per la sicurezza del sito. Per implementare un sistema personalizzato utilizzando le interfacce (anziché utilizzare l’implementazione standard di Entity Framework inclusa nel modello MVC 5) è necessario un IPasswordHasher . Interfaccia IPasswordHasher in ASP.net Identity namespace Microsoft.AspNet.Identity { public interface IPasswordHasher […]

Spring Security: Multiple HTTP Config non funziona

Sto cercando di utilizzare Spring Security e ho un caso d’uso in cui voglio che vengano salvate diverse pagine di accesso e diversi set di URL. Ecco la mia configurazione: @Configuration @Order(1) public static class ProviderSecurity extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(“/”, “/home”).permitAll() .antMatchers(“/admin/login”).permitAll() .antMatchers(“/admin/**”).access(“hasRole(‘BASE_USER’)”) .and() .formLogin() .loginPage(“/admin/login”).permitAll() […]

Lo storage locale può essere considerato sicuro?

Sono tenuto a sviluppare un’applicazione web che funzionerà offline per lunghi periodi. Affinché ciò sia fattibile, non posso evitare di salvare dati sensibili (dati personali ma non il tipo di dati da archiviare solo con hash) nella memoria locale. Accetto che questa procedura non sia raccomandata, ma data poca scelta sto facendo quanto segue per […]

JSON Hijacking è ancora un problema nei browser moderni?

Sto usando Backbone.js e il web server Tornado. Il comportamento standard per la ricezione dei dati di raccolta in Backbone è quello di inviare come array JSON. D’altra parte, il comportamento standard di Tornado è quello di non consentire la matrice JSON a causa della seguente vulnerabilità: http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx Uno correlato è: http://haacked.com/archive/2009/06/25/json-hijacking.aspx Mi sembra più […]