Domande con tag 'authentication'

domande con tag
1
risposta

Come posso proteggere le pipe denominate in windows?

Ho qualche malinteso su come proteggere la comunicazione dei named pipe in windows Ad esempio, ho un servizio Windows che dialoga con altri processi tramite pipe, come posso assicurarmi che sto parlando con il processo giusto? Ci sono modi pe...
posta 15.05.2016 - 16:29
2
risposte

Come posso abilitare la crittografia opportunistica per il mio sito web?

Come da menzione d'onore in una risposta per « Perché https autofirmato è meno affidabile di http non crittografato », sembra che ci siano già due bozze post-Snowden che hanno a che fare con l'argomento esatto della crittografia opportunistica d...
posta 30.06.2014 - 02:55
2
risposte

È sicuro utilizzare un meccanismo di autorizzazione stateless in cui la password di cancellazione è memorizzata sul portachiavi?

È sicuro utilizzare il seguente meccanismo di autorizzazione stateless tra un client (iOS e Android) e un server? Registrati Il client fornisce un'email e una password e salva la password di cancellazione sulla Keychain di iOS e...
posta 20.06.2018 - 13:28
2
risposte

Perché i dispositivi client WPA2 rispondono a qualsiasi Deauth

Un gran numero di metodi di attacco per WPA2 implicano l'acquisizione di un handshake. Per catturarne uno il modo più veloce prevede l'invio di pacchetti di deautenticazione al client che lo costringono ad avviare l'handshake mentre si acquisisc...
posta 31.05.2018 - 18:56
1
risposta

Kerberos: qual è la struttura per la preautenticazione con certificato (RFC 4556)

Sto facendo fatica a capire come dovrebbe essere la struttura di una richiesta di preautenticazione in Kerberos. Dopo aver letto RFC 4556 e le RFC di riferimento, sono ancora confuso a causa di tutti i diversi casi. Il mio caso è il seguente:...
posta 21.11.2016 - 15:07
4
risposte

Come proteggere i dati di accesso contro MitM con HTTPS abilitato?

Anche dopo aver abilitato HTTPS, l'utente non è completamente sicuro per quanto riguarda gli attacchi MitM, poiché esiste la possibilità di un archivio di certificati radice compromesso. Quindi, ovviamente, puoi utilizzare il blocco dei certific...
posta 30.12.2016 - 01:48
2
risposte

Come utilizzo CORS correttamente con OpenID Connect?

Sembra esserci una serie di domande su diversi blog, Q & A siti e commenti che richiedono varianti della domanda: How do I correctly use CORS with OpenID Connect? Il contesto di queste domande viene solitamente applicato a uno di qu...
posta 09.02.2017 - 16:07
1
risposta

Invio di token di accesso non in scadenza su ogni richiesta vs utilizzando token di aggiornamento?

Quando si proteggono le API REST per le applicazioni mobili, ciò che si vede spesso è l'uso di token di aggiornamento. Esistono perché: I token di accesso hanno una data di scadenza. Non vogliamo che l'utente debba inserire le sue credenzi...
posta 02.05.2016 - 14:58
1
risposta

Il riempimento di PKCS 1.5 consente a un utente malintenzionato di estrarre la chiave privata o no? PKCS 1.5 è sicuro da usare nel contesto dell'autenticazione?

Sto attualmente scrivendo un'app di autenticazione basata su RSA, per Android che dovrebbe essere impossibile da copiare, anche se hai accesso fisico a un telefono senza lockscreen / PIN. Tuttavia, l'HSM all'interno del telefono, che assicura...
posta 08.06.2016 - 20:55
1
risposta

Protocollo di sicurezza per adesivi / tessere NFC

Diciamo che sto usando le schede NFC per il controllo degli accessi. Le schede / adesivi NFC sono facilmente leggibili e scrivibili, quindi la mia preoccupazione è che i dati su di essi possano essere facilmente clonati su un'altra scheda / ades...
posta 27.06.2015 - 02:26