Domande con tag 'web-application'

domande con tag
3
risposte

Perché il doppio invio di token CSRF deve essere crittografato con numeri casuali forti?

Stavo solo esaminando il Cheat Sheet di OWASP per la prevenzione CSRF. Per quanto riguarda il metodo di invio doppio dei cookie , si dice: the site should generate a (cryptographically strong) pseudorandom value Questo metodo si basa co...
posta 18.12.2013 - 10:39
4
risposte

Devo usare Suhosin per PHP?

Suhosin può essere usato per aumentare la sicurezza della tua applicazione PHP. Posso davvero vederne l'uso quando usi host condivisi, con persone multiple (forse malvagie) che eseguono le loro applicazioni PHP lì. Quando hai solo un'app We...
posta 11.11.2010 - 22:59
1
risposta

In che modo le "Immagini di fiducia" sulla pagina di accesso della mia banca migliorano la sicurezza?

La mia banca ha recentemente modificato la propria procedura di accesso per mostrare un'immagine preselezionata che etichettano una "immagine di fiducia", apparentemente per consentire a un utente del sito web umano di autenticare il sito web de...
posta 29.07.2016 - 11:32
6
risposte

La mia unione di credito sta riducendo la lunghezza massima della password a 10 caratteri

Ho appena ricevuto un'e-mail dalla mia cooperativa di credito dicendo che stanno riprogettando il loro servizio di online banking e che dovrò cambiare la mia password entro il 22 ottobre per conformarmi al nuovo limite di 10 caratteri. Il limite...
posta 20.10.2012 - 00:14
4
risposte

Genera numeri pseudocasuali crittograficamente forti in Javascript?

C'è un buon modo per generare in modo crittografato forti numeri pseudocasuali (o veri casuali) in Javascript? Il requisito fondamentale: se JavaScript di a.com genera numeri casuali, nessun altro dovrebbe essere in grado di prevedere quei nu...
posta 11.09.2012 - 10:31
2
risposte

Come si usa "scrscriptipt" o "selsectectect" per evitare il filtraggio?

Una tecnica per evitare il filtraggio di parole comuni è quella che ho descritto nel titolo. Tuttavia, perché questa tecnica funziona? SELECT non è lo stesso di SELSELECTECT per esempio.     
posta 22.02.2013 - 16:18
6
risposte

Prevenire la divulgazione di informazioni dal pulsante / cronologia back del browser?

Ho dati sensibili che saranno ospitati su un sito web e vorrei impedire che i dati vengano esposti in questo scenario: L'utente principale disconnette l'applicazione, ma non chiude il browser (presuppone un ambiente Kiosk) Quindi un sec...
posta 26.10.2011 - 17:18
5
risposte

L'azione di login e disconnessione dovrebbe avere la protezione CSRF?

Sto creando un'applicazione web in Django che genera e include token CSRF per le sessioni (una sessione di Django può essere anonima o un utente registrato). Devo mantenere la protezione CSRF ai controller che gestiscono l'azione di login e disc...
posta 09.07.2014 - 09:25
3
risposte

Usare SHA-256 per pre-processare la password prima di bcrypt?

Vorrei consentire agli utenti della mia applicazione Web di avere password lunghe, se lo desiderano. Oggi sono venuto a conoscenza della limitazione della lunghezza della password di bcrypt (72 caratteri, il resto troncato). Sarebbe sicuro pe...
posta 14.02.2017 - 10:36
2
risposte

JavaScript Injection usa Man in the Middle Attack

Supponiamo che io sia connesso a un hotspot WiFi ospitato da un malintenzionato. Inoltre, supponiamo di accedere a una pagina di accesso di un sito di e-mail fittizia tmail.com su una connessione HTTP non sicura. La mia domanda è: come p...
posta 10.11.2014 - 12:46