Domande con tag 'appsec'

domande con tag
3
risposte

passphrase del testo trasparente per il keystore

Come viene memorizzata la passphrase per un keystore? abbiamo tutte le password crittografate e la chiave per crittografare è memorizzata nel keystore, quindi come viene memorizzata la passphrase per il keystore? in chiaro? se criptato, dove dov...
posta 28.04.2014 - 12:04
1
risposta

Best practice per la protezione delle credenziali dell'utente quando raggiungono il server utilizzando Basic Auth + SSL

So che generalmente si dice che l'archiviazione delle credenziali utente in testo semplice sia un'idea orribile. Sono nel mezzo di implementare Basic Auth su SSL e mi chiedevo cosa avrei dovuto fare con le credenziali dell'utente una volta decif...
posta 12.04.2013 - 17:40
1
risposta

Architettura software dell'applicazione Web: sicurezza di base

Sono un principiante assoluto nel tema della sicurezza e so che dovrei leggere questo , ma ho una piccola domanda alla quale spero esista una risposta breve. Diciamo che ho tre componenti di un'applicazione web che parlano tra loro: un...
posta 05.03.2012 - 19:29
1
risposta

Pericoli di una vulnerabilità in un programma di installazione locale?

Ho inviato un messaggio al mio responsabile di sviluppo per un overflow del buffer nel nostro programma di installazione (ampiamente distribuito) e ho ricevuto una risposta che non aveva importanza in quanto non era il codice del server. Oltr...
posta 06.08.2012 - 16:56
1
risposta

Utilizzo dei token per mantenere gli utenti connessi

Sono uno sviluppatore web PHP che ha letto recentemente sulla sicurezza e di conseguenza mi è venuta in mente questa domanda: come autenticare in modo corretto e sicuro gli utenti già registrati con un token? Ho visto la tecnica menzionata in di...
posta 21.05.2012 - 18:49
2
risposte

hardware necessario per il sistema di sicurezza wifi

Sto pensando di implementare un sistema di sicurezza Wi-Fi, in cui è possibile bloccare o sbloccare la porta da remoto. Come ho fatto su internet e mi sono imbattuto lockitron e schlage Ora quello che voglio sapere è 1) la configura...
posta 26.12.2011 - 10:06
2
risposte

Protezione dell'app di pagamento mobile contro il furto di dispositivi mobili

Attualmente sto progettando un'app di pagamento. Ha i controlli di sicurezza standard come la comunicazione HTTPS, blocco dei certificati, nessuna cache, login con 2FA (OTP), 2FA per l'operazione di pagamento .. ma non sono sicuro di come proteg...
posta 01.08.2018 - 19:33
1
risposta

Qualcuno può evidenziare la differenza chiave tra CRLF Injection, HTTP Response Splitting e HTTP Header Injection?

Credo che ognuna di queste sia strettamente interconnessa, ad esempio, si verificherà la divisione di risposta HTTP in caso di immissione di caratteri CRLF (% 0d% 0a) e ciò comporterà anche l'iniezione di intestazioni HTTP che controllano le ris...
posta 21.08.2018 - 08:54
1
risposta

Application e Information Security mercato dello sviluppo software [chiuso]

Questa è una domanda in più su come il mercato è per un ingegnere del software con particolare attenzione alla sicurezza delle applicazioni e delle informazioni, principalmente sviluppo e ingegneria del software, sia di pratiche sicure durante l...
posta 30.03.2018 - 09:47
1
risposta

La whitelist degli indirizzi IP è utile se l'indirizzo IP non è "segreto"?

Sto lavorando a un'applicazione che avrà accesso alle chiavi API fornite dai nostri utenti. L'applicazione effettua chiamate API per conto dei nostri utenti. L'API che stiamo utilizzando consente agli utenti di inserire nella whitelist gli in...
posta 04.08.2018 - 09:06