Domande con tag 'tls'

domande con tag
3
risposte

MITM sul programma senza impostazioni proxy

Sto cercando di ispezionare il traffico di un programma (che è in esecuzione sul mio computer) che utilizza SSL su TCP su una porta non standard. Il traffico potrebbe essere o meno il traffico HTTP, probabilmente no. Né Charles né Fiddler2 sono...
posta 23.11.2014 - 22:22
2
risposte

Qual è il punto delle autorità di certificazione che non sono attendibili dai browser (= trusted delle CA radice)?

Vedi qui: link Chrome, Firefox e Internet Explorer avvertono che non è attendibile, rendendo praticamente inutile l'intera faccenda. Se voglio un qualche tipo di certificato SSL, posso anche creare il mio con makecert.exe, l'effetto sarebbe...
posta 09.04.2014 - 10:44
1
risposta

Usando OpenSSL v1.0.1g, sto creando un certificato SSL o un certificato TLS?

Quindi confondiamoci ora tra SSLv3 e TLSv1.2, ho provato a trovare qualche risposta sul Web ma non sembra esserci riuscito, quindi ti sto chiedendo ragazzi. L'ultima versione di OpenSSL mi sta facendo creare un certificato TLS? Se sì, come po...
posta 29.04.2014 - 20:29
3
risposte

Perché più siti Web non implementano il segreto perfetto in avanti?

Da quanto ho capito, tutto ciò che serve per abilitare PFS su un server web è l'aggiunta di suite di cifratura ephemeral (quelle che usano DHE e ECDHE per lo scambio di chiavi) all'elenco delle suite di crittografia utilizzate nell'handshake SSL...
posta 11.04.2014 - 07:12
4
risposte

I nuovi gTLD stanno arrivando. In che modo i browser gestiranno cookie, SOP e certificati?

Dato che la "zona" di sicurezza varia in base al TLD, come verrà gestito il nuovo TLS? Ad esempio: un browser può consentire la condivisione di cookie e certificati SSL e certificati jolly company.com (due livelli di profondità)...
posta 12.08.2013 - 19:36
1
risposta

Perché IE / Windows ti obbliga a installare certificati autofirmati come CA principale per farli funzionare?

Nelle vecchie versioni di IE / Windows è possibile installare un certificato autofirmato per un sito Web e ha funzionato: gli avvisi sono scomparsi. Nelle versioni più recenti (e con Chrome) questo non ha funzionato. L'unico modo per farlo fu...
posta 07.08.2013 - 11:39
1
risposta

Quale protezione aggiuntiva viene aggiunta a un'API REST su HTTPS mediante l'uso di un tipo di HMAC?

Sto progettando un'API RESTFUL che sarà sempre utilizzata su HTTPS, quali vantaggi di sicurezza rispetto all'uso di HTTP Basic Auth potrebbero essere portati al mio sistema usando questo tipo di codici di autenticazione dei messaggi? Esempio...
posta 05.09.2013 - 03:30
2
risposte

Come posso proteggere la mia api per evitare di copiare?

Sto costruendo un'app che dovrebbe ricevere dati dal mio server. L'API dovrebbe essere uno script basato su PHP che fornisce i dati come JSON. Tuttavia, voglio mantenere i dati privati e dovrebbe essere accessibile solo dall'app stessa. Come p...
posta 24.08.2014 - 16:46
1
risposta

Avere un GUID in un URL https è abbastanza sicuro? [duplicare]

Avere un GUID in un URL https è abbastanza sicuro? Ci sono rischi per la sicurezza nell'usare questo modo di autenticare gli utenti? link Inoltre quali misure possono essere prese per rendere più sicuro questo tipo di URL.     
posta 16.10.2014 - 16:25
2
risposte

Come evitare la fissazione della sessione (Login CSRF) con MitM attack senza HSTS?

Sto scrivendo un'app Web che già utilizza connessioni crittografate TLS (HTTPS), cookie di sessione Secure; HttpOnly , token CSRF HMAC-SHA1, richiede un'intestazione Referer corretta per evitare Login CSRF e cambia ID di sessione durant...
posta 03.09.2014 - 10:36