Domande con tag 'rest'

1
risposta

Un approccio senza accesso per autenticare un determinato dispositivo, indirizzo MAC come password?

Ho creato una API REST, e ora sto pensando all'autenticazione. Voglio che il flusso dell'applicazione mobile per l'utente sia molto semplice: basta inserire un nome utente e poi questo nome utente insieme a "qualche password" verrà utilizzato pe...
posta 11.07.2014 - 12:39
1
risposta

Quali sono tutti i casi di test / vulnerabilità di cui abbiamo bisogno per provare i test della penna API REST?

Sto imparando i test delle penne API e sto cercando risorse che forniscano un elenco chiaro dei casi di test che dobbiamo controllare mentre eseguiamo un test della penna sull'API REST. Ho utilizzato le risorse OWASP API Cheat_sheet API ....
posta 27.11.2018 - 05:49
2
risposte

Come posso proteggere un servizio REST destinato a essere utilizzato dai clienti dei miei clienti tramite il loro sito Web pubblico?

Sto sviluppando un servizio con un'API REST associata per i clienti (aziende che hanno i propri siti Web) da utilizzare. In altre parole, uno dei miei clienti tipicamente effettuava la chiamata REST direttamente dal proprio sito Web (ovvero la r...
posta 15.10.2018 - 19:36
1
risposta

Utilizzo della password hash come chiave segreta per hmac per evitare lo scambio di segreti tra server e client

Attualmente sto cercando di migliorare la nostra API per essere più riposante, quindi evito qualsiasi stato sul server. Voglio realizzare questo con un token hmac, aggiunto ad ogni richiesta. L'hmac sarà realizzato con la seguente parte di dati:...
posta 24.06.2014 - 15:56
1
risposta

vantaggi dell'autenticazione di base http su token-based (ad esempio oauth2)?

Sono interessato alla domanda se ci sono dei possibili vantaggi nel garantire una determinata API REST per i client Web e le app mobili con autenticazione di base http (su https ovviamente) su un sistema basato su token come ad esempio con oauth...
posta 03.10.2014 - 15:01
1
risposta

Problemi di sicurezza sull'API

Ho appena incontrato API che trovo piuttosto vulnerabili. Potresti chiarire se le mie preoccupazioni sono sbagliate? 1) Per il recupero dei dati utente, API KEY, che è unico per ogni utente che ho usato. Questa chiave API è memorizzata nell'U...
posta 27.11.2014 - 08:32
1
risposta

Forza i file di download protetti con le intestazioni auth

Da diversi client REST le credenziali vengono inviate con ogni richiesta tramite intestazioni di autorizzazione HTTP personalizzate al servizio REST. C'è un modo per forzare il download dei file nel browser quando si accede ai file memorizzati n...
posta 02.06.2014 - 17:02
2
risposte

Sito web di E-Commerce con backend REST: devo proteggere gli URL di backend accessibili dalle pagine pubbliche front-end?

Ho un sito di e-commerce con un backend REST e un JS a pagina singola come front-end. Intendo proteggere il mio backend REST con OAuth2. Non voglio obbligare l'utente ad autenticarsi quando arriva per la prima volta sul sito web, perché come...
posta 23.09.2013 - 00:24
2
risposte

Perché servizi come Twitter hanno token e segreti per app di terze parti?

Ho notato che se si dispone di un'app di Twitter di terze parti, si ottiene un token di accesso e un segreto del token di accesso per comunicare con Twitter. Perché ci sono due codici? Non dovrebbe essere sufficiente? Significa che ogni ap...
posta 27.02.2013 - 21:11
2
risposte

Origine CSRF e intestazione del referer basta controllare l'host?

Nota: questa domanda non è la stessa del possibile duplicato collegato. Quella domanda chiede a come controllare l'intestazione origine / referente protegge contro CSRF. Questa domanda ti chiede come implementare i dettagli specifici. Vedo...
posta 06.08.2018 - 01:50