Domande con tag 'authorization'

domande con tag
2
risposte

L'attivazione di EnableLinkedConnections comporta un rischio per la sicurezza?

Come mostrato TechNet di Microsoft , condivisioni di rete che sono mappati dagli script di accesso sono condivisi con il token di accesso utente standard anziché con il token di accesso amministratore completo. Ecco il succo: Sintomo Af...
posta 21.07.2015 - 14:12
1
risposta

Identificazione del cliente mediante certificati client

Ho il seguente scenario: Diversi server embedded indipendenti (Linux / ARM / lighttpd) Diversi dispositivi di controllo indipendenti (win32 / iOS / Android) Ogni server dovrebbe avere almeno un dispositivo di controllo Ogni dispositivo...
posta 21.12.2015 - 10:33
3
risposte

Autenticazione a fasi

Qualcuno capirà la terminologia per l'utilizzo di "autenticazione multi-stage", in cui ogni fase concede uno specifico livello di autorizzazione? Il concetto è che tu ad esempio navighi su una pagina web, non identificandoti e autenticandoti...
posta 09.12.2016 - 11:12
4
risposte

crittografia vs confronto controllo accessi

Ho una domanda molto semplice e basilare su due concetti di sicurezza. Sia la crittografia che il controllo degli accessi sono utilizzati per la privacy e per impedire agli utenti non autorizzati di accedere ad alcuni oggetti (ad esempio file...
posta 15.05.2015 - 17:23
2
risposte

Decide di eseguire la sicurezza dell'API REST

Ho sviluppato un'API. Mi sono confuso e ho letto articoli per giorni. In realtà la mia domanda è vicina a queste ma non esatta (forse una combinazione di esse); Protezione dell'API REST a cui si accede da diversi client API REST senza login...
posta 25.03.2015 - 17:25
5
risposte

Come può essere implementato in modo efficiente il controllo di due persone?

Il controllo a due mani può essere una difesa strong, ma il sovraccarico è un problema, come discusso in precedenza . Come si può implementare il controllo di due persone con un sovraccarico minimo? Sarei più interessato ad un esempio con...
posta 29.07.2016 - 17:23
1
risposta

CSRF con intestazioni Autorizzazione OAuth o Bearer

Sto progettando un'API RESTful che deve essere accessibile da un browser web. L'API è protetta dall'autenticazione di base. Comprendo il concetto di CSRF e le mitigazioni proposte (ho trovato sia voce CSRF di Wikipedia che pagina OWASP CSR...
posta 13.03.2013 - 19:00
1
risposta

Qualsiasi scenario per l'utilizzo di entrambi, OpenID Connect e OAuth 2.0?

Dato che OpenID Connect si basa su OAuth 2.0, suppongo che tutto ciò che è possibile con OAuth 2.0 sia possibile anche con OpenID Connect. In particolare, dì che il mio sito web memorizza alcune informazioni che appartengono all'utente e impl...
posta 03.06.2016 - 02:59
2
risposte

In che modo sostituire i token Bearer con HMAC funziona in OAuth 2.0 e in che modo validare il client / server?

Questa classe di Pluralsight tratta i token Bearer , e che una delle cose che mancano a OAuth 2.0 è la convalida basata su HMAC. Altrove nei blog di thinktecture, sono chiamati token PoP (Prova di possesso) La convalida basata su HMAC impedi...
posta 10.08.2016 - 05:47
2
risposte

JWT vs certificati client

Abbiamo un server di transazione a cui sono collegate diverse applicazioni client. Il requisito è disporre di un metodo di autenticazione sicuro per le applicazioni client per comunicare con il server di transazione. Le due soluzioni esaminate s...
posta 24.06.2016 - 18:20