Domande con tag 'web-application'

1
risposta

Come proteggere una connessione web-socket con challenge-response?

TL; DR Dato che tutte le informazioni di stato per un browser Web sono accessibili a un utente (potenzialmente ostile), come può essere considerata sicura l'autenticazione challenge-response tra il browser e il server? Versione più lunga...
posta 01.09.2015 - 15:52
1
risposta

Il TLS è sufficiente per impedire l'intercettazione? [duplicare]

È sufficiente utilizzare solo SSL / TLS per l'applicazione client-server con autenticazione, registrazione e trasmissione dati (come la chat)? Se non è quello che devo anche usare?     
posta 22.02.2015 - 02:23
1
risposta

Protezione CSRF utilizzando il token di autenticazione nell'intestazione HTTP? [duplicare]

Sto lavorando su un'applicazione web che memorizza un token di autenticazione in un cookie. L'unica protezione CSRF è il controllo dei referrer. Sto pensando di migliorare questo spostando il token di autenticazione dai cookie a un'intes...
posta 27.01.2015 - 10:41
1
risposta

In che modo un cookie non sicuro o non solo HTTP può influire sulla sicurezza di un sito Web HSTS?

Se un sito Web è in esecuzione su HSTS e sta impostando circa 20 cookie. Di questi 20 cookie 15 sono entrambi sicuri e solo per HTTP e il restante 5 non sono né l'uno né l'altro. In questo scenario, in che modo possiamo compromettere la sicurezz...
posta 30.09.2014 - 07:48
1
risposta

Alternative open source ai dati di manomissione

Sto sviluppando un plug-in per browser (firefox) che essenzialmente controlla gli input dannosi. Il mio attuale approccio è quello di memorizzare tutti i campi di input inviati nelle richieste GET / POST, provare a determinare euristicamente i p...
posta 25.11.2014 - 19:53
2
risposte

Crittografia dei dati prima di inviarli allo strumento SaaS e decrittografia sulla vista del browser

Vorrei inviare i dati a uno strumento SaaS, in cui i dati sono archiviati nel cloud. Userò Google Analytics come esempio, ma si applica a qualsiasi servizio simile. Google Analytics non ti consente di memorizzare informazioni personali identi...
posta 02.08.2015 - 03:13
1
risposta

Proteggi il file di configurazione di un servizio

Ho un servizio in esecuzione su una macchina Linux, avviato con upstart, che viene eseguito come utente "the_user", deve leggere un file di configurazione. Avere il file di proprietà di root renderebbe le cose più sicure, ma impedirebbe al servi...
posta 01.04.2015 - 17:41
1
risposta

Snort ID per la distribuzione di Amazon

Snort è una buona scelta per monitorare il traffico di applicazioni Web e di rete su Amazon EC2? In caso negativo, perché e che IDS suggeriresti? Snort è una buona scelta per monitorare XSS, Sql Injection, tentare di forzare gli account di forza...
posta 31.12.2014 - 01:07
3
risposte

Pannello di accesso separato per gli amministratori?

Ho una controversia con mio padre sul seguente ... Voglio creare un sito Web (con il database MySql) e utilizzare la pagina root / index - PER ENTRAMBE la voce di accesso per i normali visitatori E accedere per gli amministratori. Mio padr...
posta 27.06.2014 - 12:03
1
risposta

Come gestire la crittografia / decodifica di chiavi private per l'applicazione web

Nel processo di progettazione di un'app Web che gestisce coppie di chiavi pubbliche / private - un'app Web di Bitcoin, in particolare - ho riflettuto molto su come gestire in modo sicuro l'archiviazione della chiave privata, poiché, utilizzando...
posta 26.05.2014 - 02:25