Domande con tag 'authentication'

domande con tag
1
risposta

Invio del token di accesso tramite la richiesta GET

In base a Documenti di Instagram, inviamo un token di accesso tramite una richiesta GET su HTTPS. Non è considerato insicuro? Perché ho letto che non dovresti nemmeno inviare password su una richiesta GET. Per /media/media-id (il primo...
posta 02.05.2017 - 01:13
6
risposte

Divieto o eliminazione di utenti abusivi [chiuso]

Mi piacerebbe ricevere consigli su una best practice per la gestione degli utenti abusivi (per qualsiasi motivo) su un sito web autenticato. C'è qualche punto nel mantenere l'utente nel database con un flag "bannato", o potresti anche cancell...
posta 06.08.2013 - 13:49
3
risposte

Sistema di accesso sicuro - utilizzando le sessioni?

Sto cercando un modo sicuro per consentire agli utenti di accedere al mio sito web. Attualmente, ho sempre usato un sistema di sessione, come questo: <?php session_start(); if (validPass() || isset($_SESSION['userId'])) { if (isset($...
posta 12.04.2013 - 17:10
1
risposta

Autenticazione come triade della CIA

Come tutti sappiamo, i principi di sicurezza delle informazioni sono definiti come triade della CIA, ovvero riservatezza, integrità e disponibilità. Mi chiedo perché l'autenticazione non faccia parte della triade della CIA come un fattore import...
posta 18.01.2018 - 01:11
2
risposte

Can TLS fornisce integrità / autenticazione senza riservatezza

È stato un po 'strano che Wikipedia sia passato a TLS perché sappiamo tutti che le informazioni pubbliche sono a disposizione di chiunque, ma suppongo che il vero scopo sia quello di fornire autenticazione / integrità in modo che nessuno possa m...
posta 24.08.2015 - 20:51
4
risposte

Protezione dell'API REST senza HTTPS

Sto sviluppando un'API REST ma non riesco a utilizzare HTTPS senza utilizzare certificati autofirmati . Capisco che potrebbe essere accettabile per alcuni, ma non voglio che i messaggi di sicurezza saltino fuori sui browser dei client. Le in...
posta 11.07.2015 - 15:31
3
risposte

I link di verifica delle e-mail dovrebbero essere "limitati nel tempo" dopo la registrazione dell'utente?

Per quanto riguarda la gestione degli utenti delle applicazioni Web, comprendo che i link di reimpostazione password sono effettivamente "equivalenti di password", e quindi ha senso limitarli a un solo uso e anche farli scadere. Ma che dire d...
posta 17.01.2013 - 14:08
3
risposte

Controllo IP di PHP come sicurezza?

Vorrei solo qualche input su uno script PHP che sto scrivendo. È solo una semplice sceneggiatura a cui solo io dovrei essere in grado di accedere. Non ho un indirizzo IP dinamico, quindi non è un problema per me, ma mi chiedo se ci sono potenzia...
posta 21.05.2014 - 10:19
3
risposte

La verifica in due passaggi di Google / Dropbox / Github conta come a due fattori?

Questo considera il percorso in cui qualcuno non usa l'opzione SMS, ma piuttosto usando TOTP , e il sito offre un seed generato da inserire. Due fattori in discussione: password: qualcosa CONOSCIUTO TOTP: conta come qualcosa che hai?...
posta 16.12.2013 - 23:46
1
risposta

Autenticazione mobile con password come param in get request over ssl

Sto costruendo un nuovo livello di servizi per un'applicazione mobile esistente. L'applicazione mobile si autentica con il livello dei servizi esistenti fornendo il nome utente e la password come parametri url in una richiesta get al punto final...
posta 24.04.2015 - 15:44