Domande con tag 'authentication'

domande con tag
1
risposta

È pericoloso condividere pubblicamente un token senza scope?

Se un servizio ti consente di creare token OAuth senza alcun ambito (consentendo 5k richieste API / ora per risorse pubbliche), è pericoloso condividere questi token pubblicamente? L'ovvio problema che vedo è che chiunque sarà in grado di uti...
posta 15.01.2016 - 06:24
1
risposta

Scopo per "Token One Time Use"

Sto collegando un ORG Salesforce con un fornitore di terze parti tramite un'API personalizzata (in pratica l'hanno scritto solo per noi). L'API richiede di recuperare un "token" che si passa ad altre chiamate tramite autorizzazione BASIC. Sta...
posta 14.05.2015 - 19:17
1
risposta

Reimposta password Chatbot con autenticazione tramite messaggio di testo

Ho appena visto un design per un chatbot che reimposta una password per un utente bloccato dopo accessi non riusciti. Autentica l'utente inviando un messaggio di testo al telefono dell'utente. Quanto è praticamente sicuro questo e quali sono...
posta 06.12.2017 - 18:12
1
risposta

Google App Script come gateway pubblico per database (foglio di calcolo)

Ho creato uno script per app di google che accetta una richiesta di POST e scrive su un foglio di lavoro di Google. In parallelo, ho anche realizzato un'app per Android che invia% richieste diHTTP a questo script per app Google. L'ho fat...
posta 28.11.2017 - 19:48
2
risposte

Qual è un buon periodo di tempo prima di aggiornare il token CSRF della sessione utente?

Sto utilizzando un token modulo per impedire attacchi CSRF. Quei token sono memorizzati e legati alla sessione di un utente. Ora voglio aggiornare il token solo ogni N minuti o ore in modo che l'utente non riscontri problemi di usabilità come il...
posta 23.04.2014 - 15:38
2
risposte

C'è un vantaggio di sicurezza nel richiedere un id utente invece di solo / me in una richiesta API?

C'è un vantaggio di sicurezza nel richiedere una richiesta di conformità a / api / 1234 invece di / api / me? Entrambi avrebbero ovviamente token di accesso. La mia ipotesi è che api / 1234 sia più sicuro perché se qualcuno si impossessa di u...
posta 09.10.2013 - 16:34
1
risposta

Implementazione dell'autenticazione mobile di Blizzard

Come è implementato l'Autenticatore Blizzard Mobile? Capita di usare OATH-TOTP o qualcosa di simile?     
posta 12.06.2012 - 23:22
2
risposte

Quali algoritmi possono essere utilizzati per l'accoppiamento del dispositivo?

Devo implementare un sistema in cui i dispositivi Android si collegano a un server centrale e devono registrarsi con account utente diversi, quindi ho deciso di creare un accoppiamento dance simile a quello che può essere osservato in bluetoot...
posta 03.04.2012 - 10:46
1
risposta

Generazione di codice QR da seed nel browser: possibile problema di sicurezza?

Ho bisogno di implementare 2FA nella mia app web. Lo faccio in modo standard: il seed dell'utente appena creato viene recuperato dal server (io uso speakeasy) e viene generato il codice QR. Il fatto è che è possibile rubare questo seme dalla mem...
posta 25.10.2018 - 15:41
1
risposta

L'utilizzo dell'autorizzazione basata su token rende superflui i controlli CSRF all'accesso?

Sulla base delle mie conoscenze, evitare l'uso dei cookie come meccanismo di autenticazione impedisce completamente le vulnerabilità di CSRF (ovvero l'autenticazione basata su token in una SPA), quando autenticato. Questo rende anche non nece...
posta 26.05.2014 - 13:29