Domande con tag 'appsec'

domande con tag
3
risposte

Come vengono hackerati grandi siti tecnologici come LivingSocial, Zappos, LinkedIn e Evernote?

In che modo vengono violati siti tecnologici di grandi dimensioni come LivingSocial, Zappos, LinkedIn e Evernote? (cioè, come viene ottenuto il loro intero set di dati degli utenti?) LivingSocial - 50 milioni di utenti esposti Zappos...
posta 28.04.2013 - 05:29
2
risposte

parser YAML sicuro?

Recentemente ho letto che YAML non era " progettato per gestire l'input dell'utente malintenzionato ", perché un input YAML dannoso "può creare istanze di tutte le classi definite nell'applicazione Rails di destinazione". Anche Wikipedia spiega...
posta 09.01.2013 - 07:04
4
risposte

Utilizzo dell'hash della password come ID di sessione?

Per un'app web client ricca, sul server ho bisogno di verificare che ogni chiamata provenga da un utente legalmente connesso. Ovviamente l'ID utente non è sufficiente, perché è facile da indovinare. Ho un'idea di cui sono scettico, ma non rie...
posta 30.06.2011 - 18:32
1
risposta

Prevenzione CSRF per servizi RESTful

Ho ragione Se rivendico che non esiste alcuna protezione affidabile contro CSRF per un ambiente di Stateles oggi? Ho un servizio RESTful (build con RESTEasy) che deve essere protetto dagli attacchi CSRF. Ho cercato su google per la prevenzione C...
posta 09.09.2013 - 19:53
4
risposte

Come dovrebbe un webmaster gestire tutte le sue password e chiavi?

Ho diverse chiavi private che uso per ssh in AWS, dreamhost, github, ecc. Ho passphrase per tutte queste chiavi private che sono troppo complesse da ricordare. Ho delle password mysql che io e la mia applicazione dobbiamo conoscere. Qual è un...
posta 30.08.2013 - 19:22
2
risposte

Memorizza in modo sicuro le informazioni di autenticazione di terze parti

Supponiamo che ci sia un'applicazione web multiutente che richiede l'accesso alla casella di posta dell'utente (su servizi di terze parti, come Gmail, ecc.). Questo accesso deve essere persistente. Il che significa che dovremmo memorizzare la pa...
posta 24.12.2010 - 09:26
3
risposte

Pratici usi non governativi dei modelli Biba, Bell-LaPadula, ecc.

Ad esempio, il modello Biba è ora disponibile nelle versioni correnti di Windows. Le cose scaricate da Internet sono contrassegnate come tali. Le cose (basse) su Internet non possono alterare roba utente (media) che non è autorizzata a scrivere...
posta 05.04.2011 - 20:37
3
risposte

In che modo KeePass acquisisce padronanza della chiave per aumentare la sicurezza?

Non capisco come la derivazione della chiave KeePass aumenti la sicurezza della password db. Innanzitutto cercherò di spiegare cosa ho capito dalla derivazione della chiave descritta qui . Userò qualche pseudo codice: const WORKFACTOR = 6000;...
posta 05.09.2012 - 19:42
2
risposte

Canonicalizzazione e codifica dell'output

Sto leggendo la Checklist di Secure Coding Practice di OWASP e nella sezione "Input Validation" hanno una voce che dice: If any potentially hazardous characters (<>"'%()&+\'\") must be allowed as input, be sure you implement addit...
posta 09.08.2012 - 03:40
3
risposte

Verifica che un utente del sito web sia protetto da firewall aziendale?

Abbiamo un sito web di e-commerce pubblico ospitato presso il nostro centro dati in loco. Per le persone che si trovano all'interno del firewall aziendale che colpisce il sito Web, desidero visualizzare informazioni di profilo sulla richiesta de...
posta 10.06.2011 - 20:12