Domande con tag 'http'

domande con tag
1
risposta

Per evitare BREACH, possiamo utilizzare gzip su risposte non token?

Lavoro su un sito che ha un'interfaccia web e un'API. Sto provando a determinare se possiamo usare tranquillamente gzip o se questo ci aprirà a BREACH . Il sito dice: If you have an HTTP response body that meets all the following condit...
posta 31.10.2017 - 21:00
1
risposta

In che modo la stessa politica di origine protegge da PUT / DELETE CSRF?

Ho letto la guida OWASP per la falsificazione di richieste tra siti e afferma che "altro I metodi HTTP ", come PUT e DELETE potrebbero essere teoricamente usati per CSRF. Tuttavia con lo stesso criterio di origine queste richieste non vengo...
posta 05.04.2016 - 20:09
1
risposta

Quanto è sicuro il mio sistema per la reimpostazione della password?

Sto usando il mio Parse Server personalizzato con Heroku che sono abbastanza sicuro (99%) che sia decentemente sicuro usando cose come oAuth2 e password hash a 1 via. Il problema è che sto cercando di implementare la mia reimpostazione perso...
posta 28.04.2016 - 16:31
1
risposta

Lo strumento Slow Loris di RSnake

Stavo guardando l'implementazione di RSnakes del suo Slow Loris fatto su perl che può essere visto qui . Ho installato un piccolo server per ascoltare i suoi pacchetti, e all'inizio ho trovato questo GET / HTTP/1.1\r\nHost: David-PC\r\nUser-A...
posta 18.04.2015 - 10:04
2
risposte

Sono stato seguito sul web. Spiegazioni per comportamento misterioso

Sto pedinando? Recentemente ho eseguito alcuni script di sviluppo Python di base. Python ha una bella funzionalità in cui può eseguire un semplice server HTTP che serve i contenuti della directory locale, sulla porta 8000 di default, ma se...
posta 02.05.2013 - 23:58
1
risposta

In quali modi un javascript che effettua una richiesta HEAD su più domini può essere una minaccia?

Stavo leggendo questa risposta alla domanda Perché la stessa politica di origine è così importante? Basically, when you try to make an XMLHttpRequest to a different domain, the browser will do one of two things: If it's a GET or...
posta 26.07.2013 - 12:19
3
risposte

Esegui la scansione di tutti i file possibili sul server (Nome file forza bruta)

Sto cercando uno strumento in grado di analizzare tutte le possibili combinazioni di file su un server e ti dice quali nomi di file ha risposto il server. Quindi proverebbe qualcosa come: example.com/a , example.com/b , ..., example...
posta 15.01.2015 - 17:21
3
risposte

Le pagine di accesso dovrebbero essere memorizzate nella cache?

Sto considerando i relativi vantaggi / svantaggi nel rendere una pagina di login memorizzabile nella cache. Tieni presente che mi riferisco alla pagina contenente il modulo in cui l'utente inserisce il nome utente e la password. Certamente no...
posta 28.01.2014 - 12:55
1
risposta

I reindirizzamenti HTTPS su HTTP potrebbero essere bloccati in futuro? [chiuso]

Diverse risposte su questo sito (ad es. 76305 ) suggeriscono che i reindirizzamenti HTTPS 30x a HTTP non sono un grande idea ma che il modello è molto diffuso. Osservando le scelte che ha fatto il team di Chrome, è chiaro che considerano il...
posta 10.10.2016 - 19:40
2
risposte

Quando è necessaria una pagina intermedia prima di indirizzare un utente fuori dal mio sito web principale? Qual è la migliore implementazione?

La NSA ha una pagina che intercetta i reindirizzamenti dal sito principale. (fai clic su "TLS:" Suite B Cipher Suites per TLS, "RFC 5430" per un esempio). Ho visto questo usato in Exchange Outlook Web Access (OWA) a impedire la divulgazion...
posta 10.10.2011 - 17:38