我们有一个运行在Microsoft上的B2B Saas服务。微软发布了很多关于Azure安全的信息,但偶尔客户会问我们在我们自己的软件上进行的安全测试和审核,而不是微软的平台。我们在这里应该遵循什么好的做法?仅仅说我们定期让认证的独立专家对我们的系统进行测试是否足够?或者我们应该提供更多的细节--如果是这样的话,我们应该提供到哪个层次?
浏览 0提问于2017-03-06得票数 4
1回答
到目前为止,它工作得非常好,但我希望确保我cookie中的数据在大多数情况下都是安全的。我已经将secure标志设置为true,这只会阻止它通过不安全的连接发送(所以只能通过https!)因为我不是安全专家,所以我想知道,最好的方法是什么?我可以做些什么来确保cookie中的数据是安全的?加密,当然……哪个?HttpOnly...好的,我该如何设置这个cookie呢?还有什么?
浏览 2提问于2017-02-09得票数 1
1回答
我正在考虑使用这个nginx模块https://github.com/leev/ngx_http_geoip2_模块来获取IP来自哪个国家的信息。我的问题是,既然我自己编译模块,如果我没有跟上当前版本,它有多安全。我不是这里的专家,所以如果我有一个过时的模块,这对机器来说可能是一个安全风险,还是不那么重要,因为它是一个“内部”模块,只读取maxmind数据库的内容?数据库在服务器本身上。
浏览 0提问于2020-07-22得票数 0
回答已采纳
假设我负责公司的一个应用程序,我决定雇用安全专家来执行安全审核。让我们进一步假设我的公司拥有应用程序的源代码,并且允许我将其交给雇用的专家。
有什么好的理由比安全源代码审查更喜欢黑盒渗透测试吗?为什么我要让安全专家在黑暗中锤击我的应用程序,因为我可以向他提供内部信息,如系统配置和源代码,以帮助他更好地指导他的工作。为了避免混淆--当我谈到安全源代码审查时,我假设我将允许安全专家对应用程序执行测试,验
浏览 0提问于2011-10-07得票数 7
回答已采纳
我是一个有抱负的信息安全专家。我已向社会各专业人士征询意见,并在回应我的查询时,有一个共同的主题是“认识社会!”我主要关心的是对信息安全社区的接触最多(与信息安全专家建立网络/会见信息安全专家),哪个组织最受尊敬?
那么,在你看来,对一个有抱负的信息安全专业人士来说,哪一个最有利呢?
浏览 0提问于2016-01-09得票数 3
回答已采纳
7回答
假设一个服务没有存储纯文本密码,我说得对吗?这个问题的答案取决于服务吗?在错误的服务上,哈希长度与密码长度相关。对一个好的服务来说,他们是无关的。这是我的猜测。此外,密码翻倍在多大程度上增加了安全性?所以不用密码,用密码怎么样?
请注意,我不是专家,所以欢迎用户友好的解释。
浏览 0提问于2013-01-15得票数 7
2回答
NBC新闻正在报道这个故事:"专家:不要删除你的雅虎!账号“。根据这个故事,如果您的帐户的电子邮件链接到您的网上银行帐户,删除您的帐户将允许黑客重新创建它;因此,您应该更改密码和安全问题。他们没有说明他们咨询了哪些专家,也没有引用任何著名的安全专家的话。这个弱点在野外曾被利用过吗?这是个好建议吗?
浏览 0提问于2016-12-16得票数 8
回答已采纳
我在一家公司工作,该公司致力于为银行应用程序开发高度安全的web服务。将创建和使用Web服务,以便与银行已经使用的应用程序建立通信。web服务将部署在JBoss服务器上。哪个web服务框架/引擎最适合于高安全性的应用程序?,我做了一些研究,并列出了几个。它们如下。CXFJAX-WS Apache Axis2Apache
我甚至读过JBoss服务器有一些内置的web服务引擎,但是没有收集到太多的信息。此外,我
浏览 1提问于2012-03-09得票数 4
回答已采纳
1回答
从直觉上讲,我认为这个方案充其量不会起到任何作用,或者在最坏的情况下会使安全性恶化(因为对过去值的依赖),但是密码安全是我不相信我的直觉的一个方面。请指点我。
浏览 2提问于2012-08-26得票数 1
回答已采纳
1回答
如何更新以确保服务器的安全?
、、、、
我被要求指定需要哪些更新来更新我们的服务器并确保其安全--问题是我不是这方面的专家。
我知道我们有很老的软件。对于我的工作,我需要PHP7.2和mySQL 5.5+,但是不知道还需要检查什么。哪个版本的?我们还需要检查其他东西吗?干杯。
浏览 0提问于2018-10-12得票数 1
回答已采纳
1回答
我想知道在这两个课程中,哪个学位更能让我为信息系统安全做好准备。我想最终作为信息系统安全专家与中情局合作,但是我已经把两年的工作投入到了我的CIS学位上,并且想知道我是否应该过渡到CS方面。如果不是这两个学位,那么哪个学位最能让我做好达到目标的准备。我主要应该知道什么才能精通计算机安全领域?独联体学位和自我教导是否就足够了?
浏览 0提问于2012-01-14得票数 2
向javascript专家寻求建议更安全?)这么做的方法?di = (typeof window!factory 'fbRoot', ['fbUrl', 'Firebase', (fbUrl, Firebase)-> new Firebase(fbUrl)]
我的客户端角度应用程序可以使用这种注入,我的服务器端节点应用程序也是如此.我这样做是为了客户端和
浏览 6提问于2014-12-31得票数 1
回答已采纳
1回答
我正在尝试使用@PreAuthorize实现方法安全性。我已经实现了一个CustomPermissionEvaluator。我注意到,除了不调用hasPmerission的1项服务外,它似乎工作得很好。commonsMultipartResolver.setMaxUploadSize(50000000);}方法安全控制我可以看到该方法是从其他服务对象中的其他方法s
浏览 3提问于2016-06-13得票数 0
回答已采纳
1回答
我一直在寻找一些好的解决方案,但我只找到了:我不是安全专家,所以我不想自己写这样的系统(但我想我必须这么做)。
你知道有什么类/库提供了挑战-响应功能吗?数据在发送到服务器之前必须在客户端进行哈希处理--根据定义,这不是不安全的吗?
浏览 4提问于2011-10-13得票数 3
回答已采纳
2回答
应用程序必须用PHP编写(服务器已经存在),并且必须是安全的(没有SQL注入或跨站点脚本等)。谢谢
浏览 1提问于2011-10-07得票数 1
2回答
但是,我们仍然混淆了服务器端脚本,不管是php、ruby、python、scala等等,还是more..our需求
您可以说web开发的当前趋势是什么吗?language...not询问哪个language...but是哪个趋势(首先是oops、concepts...is
浏览 5提问于2010-10-21得票数 1
1回答
对我来说,这似乎非常不安全,因为以这种方式重写传递给LMS的值不需要任何东西。
因此,我的问题是,我是否遗漏了什么?SCO是否意味着不向LMS报告这些值?
浏览 1提问于2011-09-07得票数 1
回答已采纳
我不是安全专家,但有些东西告诉我,将两个密钥放在同一个目录下不是一个好主意?
在我将公钥文件添加到服务器的authorized_keys文件之后,删除它是一种好的做法吗?我能想到的一个缺点是,如果我想要ssh到不同的服务器,我必须重新生成公钥/私钥对。为不同的服务器生成新的公钥/私钥对是一种好的做法吗?
浏览 0提问于2012-12-28得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
