Domande con tag 'http'

domande con tag
3
risposte

Perché HSTS non si applica automaticamente ai sottodomini per migliorare la sicurezza? Per quale motivo qualcuno non vorrebbe HSTS su ogni sottodominio?

HSTS limita la connessione a essere sempre HTTPS se distribuita da qualsiasi dominio, tuttavia per applicarla ai sottodomini è necessario l'attributo 'includeSubDomain'. Perché la politica stessa non rende obbligatorio includere tutti i sottodom...
posta 28.10.2016 - 13:20
1
risposta

Intestazioni di caching HTTP: private vs no-cache

Stiamo attualmente esaminando il nostro set di intestazioni di sicurezza "senza cache": Cache-Control "no-cache, no-store, must-revalidate Pragma "no-cache" Expires 0 Oltre all'impostazione "standard" riportata so...
posta 04.08.2015 - 13:56
7
risposte

È obbligatorio avere https sul sito di e-commerce?

Ho visto che alcuni script di e-commerce possono anche essere eseguiti senza ssl, ma tutti consigliano di attivarlo per proteggere i dati riservati. Ho appena visto un sito che ha un link di e-shop, se clicco il mio browser dice che il certif...
posta 05.04.2013 - 13:03
1
risposta

Applicazioni Web (http): non capisci come l'autenticazione basata su token sia sicura

Vedi qualcosa di simile a questo: link O più specifico: Autenticazione basata su token - Protezione del token La mia domanda ora è: L'uomo nel mezzo può solo leggere il token e usarlo è una sua richiesta. Voglio dire che non h...
posta 12.03.2013 - 19:34
2
risposte

Qualche motivo per utilizzare l'autenticazione "Basic HTTP"?

Sto costruendo una semplice API che verrà utilizzata in un'app Android (che solo circa 3-4 utenti avranno mai). L'app si collega al server e invia richieste GET / PUT. Ho letto il mio googling che se stai usando SSL, l'invio delle password co...
posta 13.06.2015 - 02:25
4
risposte

Content-Security-Policy hash di script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Tuttavia, continuo a ricevere in Chrome:...
posta 27.05.2014 - 03:42
1
risposta

Stato attuale del cookie SameSite

Recentemente ho avuto modo di conoscere l'attributo del cookie SameSite che viene utilizzato per mitigare gli attacchi CSRF. L'attributo AFAIK SameSite per i cookie è implementato in Chrome e in altri browser. Poiché sto utilizzando il server To...
posta 13.06.2018 - 08:18
1
risposta

Come convertire il sito http in full https? [chiuso]

Ho un sito in esecuzione solo con http. Ho deciso di voler andare in full https, ma non ho idea di come farlo. Devo acquistare quel certificato da qualche parte? Dove, quanto costa? Coinvolge cambiamenti nel mio codice attuale? Forms, a...
posta 09.08.2014 - 11:14
2
risposte

È possibile eseguire l'iniezione dell'intestazione HTTP se CR / LF sono stati rimossi?

Nella risposta HTTP c'è la seguente intestazione con contenuto controllato da un utente malintenzionato: Content-Disposition:attachment; filename="attacker_controlled.html" Gli unici personaggi che non possono apparire nel valore controllat...
posta 13.07.2012 - 19:47
2
risposte

Sottodomini specifici dell'utente: sicurezza JavaScript

Se fornisco un sito web pubblico per gli utenti sul mio sito web al proprio sottodominio (ad esempio bob.myapp.com ) sotto il proprio controllo, posso consentire loro di eseguire JavaScript arbitrario senza mettere a rischio il mio server pr...
posta 25.10.2012 - 20:17