Domande con tag 'web-application'

1
risposta

Come rendere le comunicazioni sicure tra i server

Ho due server con 2 applicazioni Web in PHP, ho bisogno che questo server crei una comunicazione sicura, c'è il mio scopo: Ho bisogno dell'applicazione 1 creare un POST sull'applicazione 2, ma sull'applicazione 2 devo accertarmi che il POST p...
posta 31.05.2016 - 19:28
2
risposte

Problemi di sicurezza sul lato client (Javascript)

Progetteremo e implementeremo un'interfaccia utente per un grande sito web. Il proprietario del sito è molto cauto riguardo ai problemi di sicurezza. Mi chiedo se esiste una lista di controllo per i problemi di sicurezza sul lato client, durante...
posta 18.07.2011 - 09:53
1
risposta

Stato attuale del cookie SameSite

Recentemente ho avuto modo di conoscere l'attributo del cookie SameSite che viene utilizzato per mitigare gli attacchi CSRF. L'attributo AFAIK SameSite per i cookie è implementato in Chrome e in altri browser. Poiché sto utilizzando il server To...
posta 13.06.2018 - 08:18
3
risposte

Implicazioni di lasciare l'interfaccia utente di amministrazione accessibile agli utenti non amministratori

Sto sviluppando un sistema da utilizzare internamente all'interno di un'azienda, ma probabilmente anche esternamente in futuro. Dal punto di vista degli utenti iniziali del sistema - staff, il programma è open source, in quanto ha accesso al rep...
posta 25.06.2016 - 23:21
3
risposte

Non capisco cosa c'è che non va usando solo i cookie per l'autenticazione?

Sto scrivendo un app-server e c'è un'opzione per usare semplicemente i cookie sicuri per l'autenticazione. Ecco come sembra funzionare: Si definisce una chiave segreta di 32 byte sul server Quando l'utente esegue il login, controlli il dat...
posta 16.10.2018 - 00:33
2
risposte

È possibile eseguire l'iniezione dell'intestazione HTTP se CR / LF sono stati rimossi?

Nella risposta HTTP c'è la seguente intestazione con contenuto controllato da un utente malintenzionato: Content-Disposition:attachment; filename="attacker_controlled.html" Gli unici personaggi che non possono apparire nel valore controllat...
posta 13.07.2012 - 19:47
3
risposte

AES utilizzando chiavi derivate / IV. Introduce un punto debole?

Sto cercando un modo efficace per crittografare più campi in un database con AES utilizzando un'unica chiave globale, utilizzata in un'applicazione web di grandi dimensioni. Ovviamente per riutilizzare questa chiave, è necessario un IV casual...
posta 13.11.2012 - 15:41
2
risposte

Sottodomini specifici dell'utente: sicurezza JavaScript

Se fornisco un sito web pubblico per gli utenti sul mio sito web al proprio sottodominio (ad esempio bob.myapp.com ) sotto il proprio controllo, posso consentire loro di eseguire JavaScript arbitrario senza mettere a rischio il mio server pr...
posta 25.10.2012 - 20:17
5
risposte

Quali sono i potenziali rischi per la sicurezza quando si utilizza una connessione wireless non sicura?

Se qualcuno sta usando una connessione wireless non sicura (ad esempio un punto caldo in un bar), rappresenta una minaccia anche se la persona sta utilizzando un protocollo di livello applicazione sicuro? Quello che intendo per protocollo di app...
posta 18.07.2012 - 07:01
2
risposte

L'invio di "Access-Control-Allow-Origin: http: // localhost: 8888" è pericoloso?

Recentemente ho trovato le seguenti intestazioni HTTP su un sito che potrebbe perlomeno essere descritto come un target di alto valore: Access-Control-Allow-Origin: http://localhost:8888 Access-Control-Allow-Methods: POST, GET, PUT, DELETE, OP...
posta 28.12.2016 - 13:30