Domande con tag 'rest'

1
risposta

iframe basic auth o token security

Abbiamo due siti, entrambi sono affidabili. Sul sito1 memorizziamo il nome utente e la password per l'utente per site2. Facciamo chiamate api sul backend di site1 a site2 tramite auth di base (su tutto HTTPS). Nonostante l'insicurezza...
posta 27.07.2016 - 20:07
2
risposte

Devo esporre il codice di stato HTTP 500 su un'applicazione REST?

Nella mia applicazione Spring MVC 3, sto seguendo i pattern REST e molta logica si basa sui codici di stato HTTP. Ad esempio 500 definisce un errore del server. Tuttavia, Modsecurity OWASP dice di non esporre questo codice di stato. Non cap...
posta 04.10.2016 - 07:07
1
risposta

Richiedi la firma per l'API REST

Sto costruendo un'API REST che riceverà richieste come: GET /api/entities GET /api/entities?filter=X&sort=Y Questo sembra semplice: avere il client HMAC (percorso + query, chiave), mandarmi un identificatore chiave e HMAC in un'intestaz...
posta 21.05.2015 - 00:30
1
risposta

Come memorizzare le password su un sito Web remoto?

Dire che voglio costruire una API pubblica per accedere a un sito Web che non ne ha uno. Il sito Web è protetto da uno schema nome utente / password standard e l'implementazione dell'API utilizzerà lo scraping per ottenere i dati da esso. Qua...
posta 29.12.2014 - 19:27
3
risposte

Come proteggere la mia API REST a cui si accede da una sola applicazione? [duplicare]

Supponiamo di avere 2 webapp, appA e appB. Comunicano tramite REST. Ad esempio, quando diciamo aggiornamenti appA, un file, dovrebbe informare appB tramite REST e così via. Stavo pensando, come posso renderlo sicuro? Voglio dire, cosa succe...
posta 29.06.2014 - 23:17
1
risposta

E 'qui che entra in gioco un nonce?

Sto rivedendo un sito web sviluppato da un amico e cercavo errori e preoccupazioni generali. Durante la revisione ho notato che è molto pesante nelle chiamate ajax che utilizzano JSON per un'API RESTful che mantiene su un server diverso. Ment...
posta 10.03.2014 - 20:29
1
risposta

Livelli di sicurezza multipli per i servizi intranet SOA REST

Per le applicazioni intranet che già utilizzano Active Directory, c'è qualche punto o vantaggio nell'aggiungere un secondo livello di sicurezza come OAuth quando si accede ai servizi SOA REST? Siamo nuovi a SOA e REST e siamo abbastanza non guid...
posta 25.03.2012 - 22:17
1
risposta

Come proteggere le API dei token di aggiornamento?

Ho due API utilizzate in auth : api/auth/newtoken : convalida con successo l'utente (ovvero, il nome utente e la password controllano nel DB) e restituisce token (expirers in 3 giorni) e refreshToken . api/auth/updatet...
posta 17.11.2017 - 05:44
1
risposta

Perché il protocollo Secure Remote Password non viene utilizzato nelle API REST?

Ho visto alcuni esempi di protocollo SRP utilizzati per le applicazioni Web e mi chiedo perché nessuno lo abbia mai usato per l'autenticazione RESTful. Ho fatto delle ricerche e non ho trovato nessun singolo esempio, nemmeno uno. SRP insieme a f...
posta 24.01.2018 - 15:00
1
risposta

API CSRF e JSON

Stavo cercando un'implementazione CSRF per Express.js e ho trovato qualcosa che mi ha colpito, in questo post si dice che un'API JSON è vulnerabile agli attacchi CRSF ... è corretto? non è possibile creare una richiesta JSON per eseguire un'oper...
posta 09.02.2017 - 18:50