Domande con tag 'authentication'

domande con tag
1
risposta

Quale rischio possono porre i metadati WS-Federation non attendibili?

Sto aggiungendo il supporto per SAML / ADFS / Azure ACS e leggi che i metadati non attendibili rappresentano un rischio . Considerando che ADFS fa l'aggiornamento in background dei metadati, come fanno alcuni RP, qualcuno può spiegare il ris...
posta 05.10.2011 - 02:58
1
risposta

Accesso social - autenticarsi se esiste un'e-mail o creare un nuovo utente

Ecco l'idea: Ho un sito web in cui offro agli utenti l'accesso / iscrizione tramite social network (in questo caso Facebook e LinkedIn) Quando un utente esegue l'autenticazione con entrambi i provider, cerco gli utenti nel mio DB e vedo se...
posta 03.03.2014 - 03:36
1
risposta

Come funzionano le domande di sicurezza? [duplicare]

È vero che su alcuni siti web (ad es. webmail gratuito) ci sono "domande di sicurezza" - se l'utente dimentica la sua password, potrebbe rispondere alla domanda di sicurezza, che ha fornito prima, e quindi potrebbe cambiare la sua password....
posta 03.06.2011 - 12:05
1
risposta

Che aspetto ha una "sessione di scoperta Yadis / XRDS" per l'utente finale? Come funziona? È rilevante?

Non riesco a capire come Yadis / XRDS possa essere usato da un tipico fine utente, o come funziona in modo così trasparente? Considerando che questa tecnologia non è adottata dagli IDP mainstream mi fa pensare che questa sia una tecnologia a...
posta 29.10.2011 - 18:30
2
risposte

Come implementare sessioni utente sicure usando i cookie HttpOnly?

Sto creando un'applicazione web e voglio consentire agli utenti di accedere (e rimanere connessi). Il mio piano per supportare questo in modo sicuro è il seguente: Accesso utente da un modulo di accesso: in caso di esito positivo, il server...
posta 04.12.2018 - 18:35
3
risposte

Perché l'autenticazione del certificato client non è più comune

A mio avviso, l'autenticazione del certificato client non è particolarmente complessa da implementare e presenta numerosi vantaggi rispetto all'autenticazione della password Il segreto (chiave privata) non deve mai lasciare il computer clien...
posta 30.11.2018 - 20:58
1
risposta

Quali informazioni registrare / memorizzare su un accesso utente?

Attualmente sto salvando LastLoginAt, LastActionAt, LastLogoutAt e LastLoginFromIPAddress. Non sono così sicuro del valore del logging / salvataggio dei dettagli dei logout e degli indirizzi IP, poiché non sono sicuro di quale uso sarebbero effe...
posta 12.01.2014 - 18:08
1
risposta

JWT per la convalida e-mail di un account

Sto pensando di utilizzare questo flusso di registrazione per il mio sito: 1) Registri utente immettendo email e password. 2) Inserisci l'email e la password hash nel mio database 3) Poi costruisco un email con il mio url + jwt (contien...
posta 11.06.2015 - 01:04
2
risposte

Implementazione del sistema di login SRP Challenge * con SSL * (Utilizzo di PHP)

La mia domanda: qualcuno sa come implementare l'autenticazione SRP / Diffie-Hellman in PHP (o se questo è già stato fatto)? (Alcuni dettagli) Sto utilizzando CodeIgniter con TankAuth (entrambe le versioni più recenti) S...
posta 01.10.2012 - 04:24
1
risposta

Quali sono gli svantaggi dell'utilizzo della condivisione segreta di Shamir per implementare uno schema di password parziale?

Supponiamo di voler implementare uno schema di password parziale, in cui l'utente effettua l'autenticazione utilizzando due password: una una password normale, l'altra è parziale, dove ha solo bisogno di digitare i tre caratteri selezionati di q...
posta 26.10.2018 - 03:53