Domande con tag 'http'

domande con tag
2
risposte

SSL CDN, origine non SSL; Quanto è sicuro questo?

Quanto è sicura una configurazione costituita da una CDN protetta da SSL e un'origine solo http? In altre parole, il client si connette al CDN utilizzando SSL, ma la CDN parla all'origine tramite http. Generalmente, gli attacchi uomo in mezzo...
posta 18.12.2016 - 02:48
2
risposte

Perché vietare XSS invece di segnalarlo?

Considera un browser che consente a XMLHttpRequest scaricato da foo.net di effettuare richieste a bar.net, ma allega un XHR-Origin: http://foo.net (o forse un valore più descrittivo come http://foo.net/trustedapp.js ). L'XHR non poteva...
posta 09.08.2012 - 06:14
2
risposte

Le risorse non-https possono essere manomesse?

Perché caricare asset come immagini, javascript, css ecc. su HTTPS? È possibile che queste risorse vengano manomesse se utilizzo HTTP? L'unico modo in cui potrei concepire la manomissione delle risorse caricate HTTP è di ARP avvelenare la rete e...
posta 26.12.2013 - 18:23
3
risposte

Utilizzo di Netcat per rilevare il tipo di server web

Per sapere quale server è in esecuzione un sito posso usare netcat. Attraverso il seguente comando posso raccogliere informazioni sul tipo di server installato. netcat -vv www.example.com 80 Ma se immediatamente dopo ho digitato GET /...
posta 30.12.2012 - 00:32
2
risposte

SSL è un fattore attenuante per HTTPonly non impostato sui cookie?

Ho alcuni siti che utilizzano HTTPS (nessuna modalità mista HTTPS / HTTP). I cookie non hanno un flag Flag HTTPOnly. Fanno passare gli ID di sessione. Anche alcuni dei siti non hanno un flag "Sicuro" nel cookie insieme al flag HTTPOnly....
posta 26.02.2014 - 01:39
2
risposte

Problemi potenziali con una conversione da HTTPS a HTTP

Sto riscontrando un problema con alcune email provenienti da servizi esterni come yahoo e google. In particolare, è possibile accedere alle risorse richieste solo tramite SSL. Ho trovato le seguenti informazioni su come risolvere potenzialmente...
posta 28.02.2017 - 18:47
3
risposte

Il POST HTTP è più sicuro di HTTP GET per AJAX?

Tutte le considerazioni su HTTPS / SSL, ecc. a parte, se il mio utente compila un modulo e io lo invio da AJAX, mi mi sembra che POST & GET è ugualmente intercettabile, sebbene GET sia un bit teensy più trasparente. Esistono motivi te...
posta 07.07.2016 - 08:56
1
risposta

Perché alcuni siti web ti dicono che usano i cookie? [chiuso]

Spesso visito siti web che hanno una piccola scatola che mi dice che usano i cookie. La maggior parte dei siti memorizza i cookie e non dice nulla. C'è una ragione che alcuni fanno e altri no? Ad esempio:     
posta 23.04.2016 - 00:53
2
risposte

Identifica gli utenti che accedono al link nascosto in un sito web

Recentemente ho inserito alcuni collegamenti nascosti in un sito Web per intercettare i web crawler. (Utilizzato lo stile nascosto di visibilità CSS per evitare che gli utenti umani vi accedano) In ogni caso, ho scoperto che c'erano molte ric...
posta 30.12.2013 - 11:51
2
risposte

È una cattiva pratica inviare dati decifrabili?

Se sto autenticando un'azione, è una cattiva pratica autorizzare la connessione usando un hash decifrabile che ha un algoritmo specifico, ma solo la macchina remota lo sa? È in corso l'invio di dati decifrabili utilizzando la pratica errata H...
posta 06.03.2013 - 02:30