Domande con tag 'authentication'

domande con tag
1
risposta

Lega la chiave al computer

Ho un'applicazione server client. È possibile legare una chiave di crittografia ad alcuni computer (ad esempio il mio client) in modo tale che la chiave venga rubata. L'attaccante non sarà in grado di usare quella chiave da un altro computer?...
posta 17.11.2015 - 08:19
1
risposta

Autenticazione Sicurezza token SSO - SAML, OpenID Connect

Sto cercando di capire come funzionano varie tecnologie SSO come SAML 2.0, OpenID Connect 1.0. In generale, funzionano in modo simile fornendo token (XML, JSON) tramite Identity Provider a Service Provider. Ciò che non comprendo appieno è...
posta 27.09.2015 - 19:22
1
risposta

WebCrypto, SOP e Yubikeys

Ho seguito alcune discussioni sulla mailing list di WebApp Security riguardante le politiche WebCrypto e SOP (oltre 100 messaggi). Una delle cose che è scaturita dalle chiavi contenute in WebCrypto non erano enumerabili perché potevano essere...
posta 27.09.2015 - 12:16
1
risposta

Perché il calcolo del checksum di un'intestazione del datagramma IP e quindi la crittografia non è appropriato per fornire l'autenticazione dell'origine dati?

Quindi, supponendo che Alice e Bob abbiano accettato di utilizzare un particolare crittosistema simmetrico e condividere una chiave appropriata, vogliono ottenere l'autenticazione dell'origine dei dati calcolando il checksum di intestazione di u...
posta 02.04.2016 - 12:11
3
risposte

Quanto è sicuro l'url token per i subappaltatori senza account?

Immagina di essere una compagnia di taxi che subappalta autisti indipendenti per guidare all'interno di determinate città e paesi. Si invia al subappaltatore un collegamento a una pagina che contiene campi per il subappaltatore per inserire e...
posta 01.09.2015 - 02:34
1
risposta

MD5 prima di PBKDF2 su software legacy

Sto mantenendo un software legacy che utilizza MD5 nel modo seguente: Il client richiede un massimo di 16 byte durante l'autenticazione di un account. Il server genera un sale di 16 byte, lo collega all'account e lo invia al client. Il c...
posta 09.03.2015 - 04:13
1
risposta

Scambi di sicurezza durante la progettazione di un'API di servizi Web mobili

Non sono un esperto di sicurezza ma voglio chiedere dei compromessi in un'API di servizi web che sto progettando per le app mobili. È un'API che tiene traccia delle posizioni degli utenti, quindi sì, i dati sono ragionevolmente sensibili. Tut...
posta 06.03.2015 - 20:36
3
risposte

Alice e Bob autenticazione e integrità problema

Supponi che Alice debba inviare un file a Bob, garantendo la sua identità e l'integrità del file (non è richiesta alcuna riservatezza); le due parti condividono un w segreto e utilizzano una funzione hash H che emette numeri a 40 bit....
posta 09.02.2016 - 18:01
1
risposta

Potrebbe essere insicuro suggerire di collegare account ad altri provider di identità in base al loro indirizzo email?

Diciamo che ho un sito dove gli utenti possono accedere con Google+ o Twitter. Ora immagina un utente che ha chiamato Bob seguendo i seguenti passaggi: Accedi al mio sito usando il loro account Twitter. Richiedo il loro indirizzo email da Tw...
posta 02.02.2015 - 17:30
1
risposta

Come assicurarsi che solo i file che ho generato passino?

Ho la seguente situazione: ho un'app su un dispositivo utente e il mio server principale. L'app può inviare i file pdf del server principale e i file jpg. Ora i miei problemi sono: - > Qual è il modo migliore per il server di assicurarsi che...
posta 24.01.2015 - 09:51