Domande con tag 'tls'

domande con tag
1
risposta

Incoerenze rilevate nelle intestazioni HTTP del provider OpenID. Qual è il più sicuro che dovrei imitare nel mio STS e Relying Party?

Sto confrontando le intestazioni HTTP dei vari provider (LiveID, Google, Yahoo, ecc.) e notiamo un'ampia incoerenza nell'implementazione nella pagina di accesso, nella pagina di disconnessione e nelle pagine successive. What headers should...
posta 29.10.2011 - 09:09
1
risposta

Utilizza i certificati SSL client come autenticazione dell'applicazione Web

Sto lavorando a un'applicazione web con una semplice API che richiede l'autenticazione. Per la mia natura applicativa, gli utenti hanno due chiavi RSA, per la firma e la crittografia dei messaggi. Il mio protocollo funziona basandosi su di esso....
posta 05.03.2013 - 08:25
3
risposte

sslstrip funziona solo su siti Web che utilizzano sia HTTP che HTTPS?

L'attacco sslstrip funziona solo su siti Web che utilizzano sia HTTP che HTTPS? Su Quora un commentatore dice che: One thing to note is that, SSL Strip only works on websites which uses both HTTP & HTTPS. For example, Ebay, where th...
posta 11.04.2018 - 15:39
6
risposte

La selezione della forza di bit di un certificato figlio deve essere influenzata dalla CA o dalla catena?

A parità di condizioni; supponiamo di avere una catena di CA con 1024 bit di crittografia RSA. Ciò significa che la mia selezione di un certificato CA o WebServer secondario non ottiene vantaggi da un livello superiore di crittografia? La mia...
posta 16.03.2011 - 04:49
2
risposte

Tutte le implementazioni SSL / TLS sono vulnerabili al bug Heartbleed? [chiuso]

Ho appreso la teoria dei protocolli SSL / TLS e quanto sono efficaci per ottenere una comunicazione sicura tra client e server. Tutte le implementazioni OpenSSL, PolarSSL, MatrixSSL e Mozilla NSS utilizzano la stessa teoria sottostante di SSL...
posta 31.08.2015 - 19:18
3
risposte

Sicurezza dell'hash delle password utilizzando bcrypt Done sul lato client

Attualmente sto usando una tecnica in cui mando il nome utente / password in chiaro (usando https) al server, che poi esegue il bcrypt e lo confronta con il db. Pratica standard. È considerato sicuro. L'invio di hash bcrypt al server per i...
posta 07.08.2014 - 14:25
1
risposta

Per un'applicazione desktop, perché utilizzare un certificato SSL da un'autorità attendibile?

Quando un browser Web si collega a un server e scarica un certificato SSL, un'autorità fidata di terze parti garantisce che il client stia parlando con l'host che sta cercando. Se l'host utilizza un certificato autofirmato, il client non ha modo...
posta 09.02.2013 - 00:39
1
risposta

Limite del certificato di 39 mesi di TLS e errore NET :: ERR_CERT_VALIDITY_TOO_LONG di Chrome

Alla fine dello scorso anno il CA / Forum Forum ha deciso di limitare la durata massima valida dei certificati TLS / SSL rilasciati dopo il 1 ° aprile 2015. Dopo questo periodo, come linee guida ufficiali mettilo .. CAs SHALL NOT issue ce...
posta 09.04.2015 - 06:08
4
risposte

hashing della password su frontend o backend? [duplicare]

Ho un server Java con Spring Boot e un JS Frontend in AngularJS. Il mio insegnante mi ha detto di usare HTTPS per le password, perché non posso eseguirne l'hash abbastanza sicuro, che nessuno può hackerarle. Con HTTPS, se ho capito bene,...
posta 17.01.2016 - 19:44
3
risposte

Come si verifica se un'app utilizza le comunicazioni sicure?

Qualsiasi browser dei giorni nostri fornisce un feedback all'utente finale che conferma se stai utilizzando o meno HTTPS e alcune convalide di base del certificato. Quando si utilizza un'applicazione mobile, sembra che l'utente finale non abb...
posta 09.09.2013 - 12:26