Domande con tag 'secure-coding'

0
risposte

Crittografia front-end-side: dove memorizzare la password durante la sessione?

al momento stiamo lavorando su una piccola applicazione in cui memorizziamo una serie di dati JSON provenienti da un editor di grafica basato su JS (pensiamo a una versione arricchita di this ) in un back-end basato su Rails. Vogliamo consentir...
posta 21.03.2018 - 13:30
1
risposta

Invio di funzioni da restituire o da morire

Quale è preferibile sia per la tecnica solida che per la codifica sicura? Esempio 1: function_one() blah; function_two() blah; print blah; exit; ... Esempio n. 2: function_one() blah; function...
posta 19.12.2014 - 14:50
1
risposta

L'invio di dati a un server tramite un tag di script è un paradigma obsoleto?

Ho ereditato un vecchio codice javascript per un tracker sito web che invia dati al server utilizzando un URL di script: var src = "http://domain.zzz/log/method?value1=x&value2=x" var e = document.createElement('script');...
posta 08.11.2013 - 18:57
1
risposta

È possibile proteggere sia l'accesso alle pagine Web che alle API Web con un JWT?

Sto cercando di capire come avere un'API WEB sicura e allo stesso tempo proteggere il client che accede all'API WEB. Spero che qualcuno possa indicarmi la giusta direzione. Ecco il mio scenario. Ho sviluppato un'API WEB con un metodo di auten...
posta 03.11.2016 - 18:05
10
risposte

Sarebbe buona pratica di programmazione sicura sovrascrivere una variabile "sensibile" prima di eliminarla?

È buona prassi di programmazione sicura sovrascrivere i dati sensibili memorizzati in una variabile prima che vengano cancellati (o che non rientrino nell'ambito di applicazione)? Il mio pensiero è che impedirebbe a un hacker di essere in grado...
posta 04.12.2014 - 17:18
5
risposte

Il codice critico per la sicurezza deve essere riutilizzato o riscritto?

Di solito, nella programmazione, riutilizzare il codice è sempre un'idea migliore che scrivere la propria implementazione di un algoritmo. Se un'implementazione è in circolazione da molto tempo ed è ancora utilizzata da molti progetti, è probabi...
posta 07.11.2014 - 11:04
7
risposte

Quali sono alcuni concetti importanti per insegnare agli sviluppatori sullo scripting cross-site (XSS)?

Sto aiutando con una formazione di un'ora per gli sviluppatori (circa 100 di loro) sullo scripting cross-site. Quali sono alcuni concetti che ritieni indispensabili per comunicare con loro? In questo momento abbiamo: Differenza tra riflessi...
posta 31.08.2016 - 20:56
5
risposte

Quanti round di hashing sono sufficienti per un gestore di password?

Attualmente sto scrivendo il mio piccolo gestore di password che memorizza la chiave in un hash SHA256 , con salt. Creo l'hash effettuando le seguenti operazioni: def sha256_rounds(raw, rounds=100001): obj = hashlib.sha256() for _...
posta 28.06.2018 - 15:39
4
risposte

Quanto è sicuro l'uso delle impronte digitali (come il TouchID di Apple) per l'autenticazione nelle app bancarie? [chiuso]

Stiamo lavorando allo sviluppo di un'applicazione bancaria e per i clienti. Dobbiamo implementare TouchID in iOS di Apple e un controllo delle impronte digitali in Android. In primo luogo, quali sono i possibili rischi per la sicurezza e le c...
posta 20.06.2017 - 08:51
2
risposte

In C, non usando 'void' se una funzione non accetta alcun argomento è una potenziale vulnerabilità

Nello standard di codifica sicura CERT, vi è una raccomandazione che " Specifica sempre void anche se una funzione non accetta argomenti ". In esso viene proposta una possibile vulnerabilità di sicurezza. /* Compile using gcc4.3.3 */ void f...
posta 27.09.2013 - 14:41