Domande con tag 'authentication'

domande con tag
1
risposta

Principio di Minimo privilegio; è mai una 'buona idea' dare agli utenti standard privilegi amministrativi?

Ci sono un certo numero di utenti nel business che sono richiesti per eseguire attività amministrative su macchine, non ultimo l'IT Service Desk, anche Devs ecc. L'unico requisito per l'accesso amministrativo all'interno del nostro patrimonio...
posta 13.09.2018 - 11:43
1
risposta

Nome comune del certificato client? Soggetto nome alternativo?

Per un progetto IoT, voglio proteggere la comunicazione del server client. Voglio che sia il server (Apache) che i client si identificano / si autenticano a vicenda (un client non comunica con altri client) prima che i client possano pubblicare...
posta 03.09.2018 - 22:09
1
risposta

API personalizzata sicura [duplicato]

Creo client desktop per un e-shop e questo client utilizzerà alcune funzioni utilizzando l'API di e-shop, come: GetOrders UpdateOrder SetOrder etc... Sto creando un'autenticazione personalizzata per quel client, ma non lo so è sicuro cont...
posta 02.09.2018 - 13:05
1
risposta

Qual è l'utilizzo di client.pfx e server.pfx?

Quando cerco di chiamare un Api di terze parti, mi vengono dati 3 file generati dal sito Api: root.cer , client.pfx e server.pfx . Sto usando il sistema Windows, quindi ho installato root.cert in Trusted Root Certification Auth...
posta 20.03.2018 - 18:00
1
risposta

Algoritmi per 2FA su HTTPS?

Sto sviluppando un'app Authenticator da utilizzare nei confronti della mia API. Conosco lo standard TOTP RFC 6238 e la variante HOTP. Anche se preferirei usare una soluzione basata su chiave pubblica / privata (solo memorizzando la chiave pubbli...
posta 20.04.2018 - 13:43
2
risposte

La password protegge un file VPN abbastanza o abbiamo bisogno di autorizzare i connettori IP?

Abbiamo una rete AWS a cui è possibile accedere solo dopo aver effettuato il collegamento a una VPN. .opvn . Al momento, per connettersi alla VPN, il nostro IP deve essere inserito nella whitelist di aws che può essere fatto solo da un pic...
posta 27.04.2018 - 11:05
1
risposta

È un'implementazione insicura di sessioni multi-sito?

Ho un Magento multi-sito (una piattaforma eCommerce PHP). Gli account sono condivisi tra i siti, ma le sessioni non lo sono, quindi è necessario accedere a ciascun sito individualmente. Sono interessato a condividere queste sessioni. Ho trova...
posta 30.11.2017 - 21:03
1
risposta

Una sola password con token hardware

Sto facendo ricerche sui metodi di autenticazione del software che sono semplici ma sicuri da implementare nei miei progetti. IDEAS: passaggi per autenticare le app L'applicazione è in esecuzione da un'unità USB in quanto non viene mai i...
posta 24.11.2017 - 02:34
2
risposte

La raccomandazione comune di oscurare l'esistenza di un nome utente all'accesso è solo il teatro di sicurezza? [duplicare]

È un consiglio comune restituire "Nome utente o password errati" invece di "Nome utente inesistente" se il nome utente specificato non esiste e "Password errata" quando il nome utente esiste ma la password è errata. Il motivo generalmente c...
posta 09.03.2018 - 23:30
1
risposta

Lo schema seguente per l'autenticazione e l'autorizzazione di Google OAuth2 è soddisfacente e sicuro?

Ho una tabella utenti nella mia applicazione SPA (applicazione Phoenix API) che contiene i campi: name , email , registered_at , role_id . Uso l'autenticazione OAuth2 dall'API di Google. Dopo che l'utente finale si autentica alla...
posta 19.11.2017 - 10:21