Domande con tag 'http'

domande con tag
1
risposta

Intestazioni di sicurezza HTTP su non HTML (immagini, JavaScript, ecc.)

Diciamo che le intestazioni di sicurezza HTTP di seguito sono applicate a tutte le pagine HTML di un sito: HTTP Strict Transport Security (HSTS) X-Frame-Options (XFO) X-XSS-Protection X-Content-Type-Options Va bene per non inserir...
posta 10.02.2014 - 20:43
3
risposte

Verifica SSL del nome host del server https

Recentemente ho scoperto che una libreria che sto usando (in particolare Apache HTTPClient) quando è configurata per verificare il nome host del server remoto rispetto al CN del certificato, sembra stia facendo un confronto tra stringhe. Cioè s...
posta 17.08.2011 - 19:13
2
risposte

L'intestazione Origin è davvero utile per proteggere un WebSocket?

Ho letto alcuni post sulla sicurezza WebSockets e alcuni di loro menzionano di usare l'intestazione Origin per aiutare a proteggere la connessione. Ad esempio questo link . Tuttavia, sono davvero dubbioso sui benefici che fornirà. Perché dov...
posta 25.02.2016 - 09:34
1
risposta

Come ottenere una barra del certificato verde se non sono un'azienda?

Non sono un'azienda e non ne rappresentano uno, ma mi piacerebbe avere una barra verde sul mio sito Web per diversi motivi. Uno di questi, ad esempio, è che voglio assicurarmi che le informazioni visualizzate nella pagina siano realmente da part...
posta 12.01.2016 - 03:09
2
risposte

Quanto è sicuro usare un index.html / index.php vuoto? [duplicare]

Quando inserisci un index.html vuoto in una determinata directory su un server web, i browser web non visualizzeranno un elenco di file per quella directory. Ma è abbastanza sicuro per altri scopi oltre a prevenire l'elenco dei file? Esistono...
posta 08.06.2013 - 13:13
1
risposta

Sta usando Gravatar in un'applicazione web con URL "privati" un problema di sicurezza?

Nella nostra applicazione, esiste una sorta di funzione di "condivisione" che invia un'email a un indirizzo fornito dall'utente. Questa email contiene un link con un token di accesso segreto (come parte dell'URL) che è valido per alcuni giorni....
posta 18.11.2015 - 18:27
3
risposte

è una risorsa g-zipping un problema di sicurezza?

Recentemente ho notato che le risorse inviate ai client non sono compresse o miniate sulla mia intranet aziendale o sul suo sito web pubblico. L'ho portato all'attenzione del dipartimento di networking (che gestisce il server) e ho chiesto se...
posta 22.12.2015 - 23:03
2
risposte

Best practice per memorizzare dati sensibili nella cache

Il mio server restituisce dati privati nel corpo di una risposta HTTPS. Non sono password o carte di credito, ma sono testi e immagini generati dagli utenti, che non dovrebbero essere accessibili ad altri. I dati per un particolare URL non ca...
posta 29.04.2015 - 15:15
2
risposte

Verranno visualizzati i dati se un pacchetto non sicuro viene inviato a un server offline?

Se un sito Web è in esecuzione su https, nessun http: 80 è in ascolto, se un browser ha inviato una richiesta a http://website.com , queste informazioni potrebbero essere visualizzate tramite l'attacco MITM?     
posta 19.10.2017 - 23:39
1
risposta

Le richieste senza intestazione UserAgent sono un rischio?

Un servizio che uso ha deciso di bloccare le richieste HTTP che non forniscono un agente utente, citando ragioni di sicurezza. Per quanto ne so, UserAgent è una stringa senza un formato standard utilizzato principalmente per le statistiche, c...
posta 29.07.2016 - 22:59