Domande con tag 'rest'

1
risposta

API che non consente di invalidare la sessione sul lato server - come renderla più sicura?

Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout che renderà invalido il cookie che la mia app utilizza da ora in poi. Quindi vedo che se un hack...
posta 17.07.2015 - 15:56
2
risposte

Problemi di sicurezza dell'API REST Tokenless

Sto progettando un'API in PHP / MySQL che, per la sua progettazione, non memorizzerà la password di un utente nel database e quindi non genera token di autorizzazione per il client da conservare. La ragione di ciò è di impedire qualsiasi possibi...
posta 17.10.2013 - 00:47
1
risposta

Convalida del tipo di contenuto nelle API REST

Sto provando a capirlo, perché è consigliabile convalidare il content-type , inviato da un client a un'API REST. Gli stati di OWASP nella scheda Trucchi sulla sicurezza REST : When POSTing or PUTting new data, the client will specif...
posta 22.03.2017 - 14:19
1
risposta

utente / pass auth vs hmac firmato per REST API

So che entrambi impediscono l'utilizzo delle API RESTful. L'API firmata Hmac è comunemente usata rispetto all'altra. Ma penso che l'utilizzo della coppia di utenti / pass per l'autorizzazione sia più sicuro, ecco il motivo: Per firmare un'A...
posta 31.03.2013 - 07:44
2
risposte

È sicuro utilizzare un meccanismo di autorizzazione stateless in cui la password di cancellazione è memorizzata sul portachiavi?

È sicuro utilizzare il seguente meccanismo di autorizzazione stateless tra un client (iOS e Android) e un server? Registrati Il client fornisce un'email e una password e salva la password di cancellazione sulla Keychain di iOS e...
posta 20.06.2018 - 13:28
1
risposta

Invio di token di accesso non in scadenza su ogni richiesta vs utilizzando token di aggiornamento?

Quando si proteggono le API REST per le applicazioni mobili, ciò che si vede spesso è l'uso di token di aggiornamento. Esistono perché: I token di accesso hanno una data di scadenza. Non vogliamo che l'utente debba inserire le sue credenzi...
posta 02.05.2016 - 14:58
2
risposte

Protezione di un'app JavaScript con RESTful backend

Ho esaminato la domanda Protezione di un singolo JavaScript App di pagina con backend RESTful che contiene discussioni / opzioni relative alla protezione di un'app per client JavaScript che richiama API RESTful. Tuttavia, dalle discussioni,...
posta 03.04.2015 - 05:24
1
risposta

Memoria del client della chiave segreta HMAC

Ho letto numerosi articoli sull'utilizzo di HMAC e la chiave segreta per l'autenticazione del client in un'applicazione client RESTful (Javascript) oggi. Tuttavia, non trovo una singola fonte che sia in grado di spiegarmi in modo trasparente un...
posta 30.05.2014 - 14:07
3
risposte

CORS e CSRF Prevenzione per un'API basata su REST

Attualmente sto cercando di capire come prevenire CSRF. La mia prima soluzione era usare un token che è suggerito ovunque. Ovviamente risolverebbe questo problema: <img src="http://api.example.com/me/delete">Maquellochenonriescoacapir...
posta 08.06.2015 - 15:52
4
risposte

Protezione dell'API REST senza HTTPS

Sto sviluppando un'API REST ma non riesco a utilizzare HTTPS senza utilizzare certificati autofirmati . Capisco che potrebbe essere accettabile per alcuni, ma non voglio che i messaggi di sicurezza saltino fuori sui browser dei client. Le in...
posta 11.07.2015 - 15:31