Domande con tag 'authentication'

domande con tag
13
risposte

C'è qualche motivo per non mostrare agli utenti le password immesse in modo errato dopo un login riuscito?

Il nostro cliente ha trovato il requisito che, nel caso in cui il nome utente in questione abbia avuto più tentativi di accesso non riusciti, le password immesse in modo errato devono essere mostrate una volta eseguito correttamente il login. Le...
posta 09.09.2016 - 20:35
17
risposte

Le password vengono inviate in chiaro a causa di un errore dell'utente nel digitarlo nel campo username

Dopo aver esaminato i log generati da diversi SIEM (Splunk, HP Logger Trial e SIEM della piattaforma AlienVault) ho notato che per qualche motivo alcuni utenti tendono a commettere l'errore di digitare le loro password nel campo del nome utente,...
posta 05.03.2013 - 17:09
5
risposte

Esistono svantaggi tecnici nell'utilizzo di certificati ssl gratuiti?

Nota questa domanda è correlata, tranne che questa riguarda i certificati SSL gratuiti . Esistono provider che offrono certificati SSL entry-level totalmente gratuiti (come StartSSL). Mi stavo chiedendo se sono tecnicamente la stessa cosa...
posta 20.08.2012 - 16:36
8
risposte

La forza bruta è una minaccia probabile anche se abiliti CAPTCHA e accetti i limiti di accesso?

Supponiamo che CAPTCHA sia abilitato con il controllo del blocco degli account (dopo cinque tentativi continui falliti, l'account verrà bloccato per 15 minuti) su un sistema. La forza bruta è ancora una probabile minaccia?     
posta 07.10.2018 - 17:44
2
risposte

Ho appena inviato username e password su https. Va bene?

Quando un utente accede al mio sito, mi inviano il loro nome utente e password tramite https. Oltre allo ssl, non c'è una speciale offuscazione della password: essa vive nella memoria del browser in chiaro. C'è qualcos'altro che dovrei fare?...
posta 12.09.2011 - 07:00
2
risposte

Come funziona l'autenticazione con chiave pubblica ssh?

La mia comprensione di base è questa: Il% (co_de%) del server (connesso a) utilizza la chiave pubblica per crittografare il messaggio Il sshd o ssh del client lo decrittografa e restituisce qualcosa (il checksum del messaggio? la...
posta 26.10.2012 - 13:22
9
risposte

È una cattiva pratica utilizzare il metodo GET come nome utente / password di accesso per gli amministratori?

Lavoro su applicazioni Web e, come sai, avere un pannello di amministrazione è un must nella maggior parte dei casi. Possiamo vedere che molte applicazioni web hanno una pagina di accesso specifica per gli amministratori in cui esiste un modulo...
posta 04.01.2017 - 03:44
4
risposte

Demistificazione dell'autenticazione Web (cookie di sessione stateless)

Attualmente sto studiando i protocolli di autenticazione utente per un sito Web che sto sviluppando. Vorrei creare un cookie di autenticazione in modo che gli utenti possano rimanere loggati tra le pagine. Ecco la mia prima battuta: cookie...
posta 11.02.2013 - 15:27
2
risposte

Perché l'autenticazione di base HTTP codifica il nome utente e la password con base64?

RFC 2617 richiede che in Autenticazione HTTP di base , il nome utente e la password devono essere codificati con base64. To receive authorization, the client sends the userid and password, separated by a single colon (":") character, w...
posta 30.01.2013 - 04:31
9
risposte

Usa una "password" aggiuntiva in Referer per nascondere il sito privato?

Ho un sito privato (= I am the only user) in example.com/private/ . Nient'altro è pubblicato su questo host (è il mio dominio). Non voglio che nessuno sappia che c'è qualcosa in example.com , specialmente non nel mio sito privato....
posta 08.04.2013 - 13:12