Come ottenere i valori di risposta di sicurezza tramite AJAX per la modifica dell'utente

0

Ho un problema in cui la nostra app ha riscontrato un problema di scansione delle app. L'applicazione utilizza GET per recuperare informazioni per una pagina del profilo utente (scritta in HTML / Javascript). Questa pagina ha le domande e le risposte sulla sicurezza dell'utente, ma le risposte sono in testo semplice nella risposta non elaborata.

Qual è il modo migliore per gestirlo? L'utente deve essere in grado di modificare le risposte (sono mascherate), ma non vogliamo essere aperti agli attacchi, naturalmente.

È la scelta migliore per usare del testo falso da mostrare nella casella e poi controllare che il testo falso sia salvato? Questa opzione non mostra il vero numero di caratteri per quello che hanno originariamente digitato. Esiste un metodo migliore?

Ho controllato this security.stackexchange question ma la risposta non dice quale sia il metodo migliore per questo scenario.

    
posta JasonWilczak 11.07.2016 - 16:29
fonte

1 risposta

3

Is the best choice to use some fake text to show in the box and then check that fake text on save?

Sì, sembra la soluzione giusta.

This option doesn't show the true number of characters for what they originally typed in. Is there a better method?

Lo vedrei come un vantaggio. Vedrei poco vantaggio nel rivelare il numero di caratteri nella risposta originale.

Sarei anche tentato di memorizzare queste risposte nel mio database usando qualcosa come bcrypt . Questo dipende dal fatto che ci sia un requisito per le risposte di essere verificabili da un essere umano (ad esempio in un call center per autenticare l'utente). Altrimenti, potresti scrivere la risposta in maiuscolo e rimuovere tutti i non-alfanumerici. Ciò consentirebbe agli utenti di inserire facilmente risposte corrette, con un lieve aumento del rischio di cracking di hash da parte di un utente malintenzionato (ad esempio se inseriscono "Foo Boy's School" in contrapposizione a "Foo Boys School" perché verrebbe memorizzato come FOOBOYSSCHOOL ). Le iterazioni potrebbero essere aumentate, tuttavia, per tener conto di ciò, poiché queste informazioni dovrebbero essere utilizzate raramente. Ciò attenuerebbe una situazione in cui la tabella delle risposte è esposta agli autori di attacchi in cui potrebbero quindi utilizzarli per eseguire una reimpostazione della password.

Di nuovo, questo dipende da come qualsiasi meccanismo di ripristino della password funziona per il tuo sistema e il tuo livello di rischio accettabile.

    
risposta data 11.07.2016 - 16:55
fonte

Leggi altre domande sui tag