Domande con tag 'web-application'

2
risposte

Il modo migliore per impostare in modo sicuro un cookie di sessione su un altro dominio

Al momento abbiamo 2 siti http://www.foo.co.uk e https://secure.foo.com . Il sito www non ha un certificato SSL e si trova su un dominio diverso. Abbiamo un pulsante di accesso su http://www.foo.co.uk che quando si fa clic ap...
posta 25.10.2012 - 10:21
2
risposte

Pagina protetta da password dimenticata: un'implementazione stateless server è valida?

Questa è un'altra domanda "Come è stata dimenticata la mia password?". Tuttavia, affronta esplicitamente due opzioni di implementazione che ho incontrato di recente. Gli approcci comuni [1,2] che conosco sono basati su un token casuale che pu...
posta 17.02.2015 - 10:57
1
risposta

Dal punto di vista del flusso di credenziali, qual è la differenza tra i servizi Web FIDO UAF e FIDO 2.0?

Lo standard FIDO consente ai dispositivi e agli schemi di autenticazione di essere certificati come UAF o U2F. Ciò consente una flessibilità unificata autenticazione e registrazione facoltativa del secondo fattore e registrazione. Distribuz...
posta 31.05.2016 - 16:37
2
risposte

Google Analytics su un sito protetto

leggi questo articolo su Google Analytics e il rischio di certificati falsi , dove è stato detto: Sooner or later it's going to happen; obtaining forged SSL certificates is just too easy to hope otherwise. What can we do about it? Don't lo...
posta 21.03.2012 - 21:33
2
risposte

Il servizio join.me è in realtà un enorme rischio per la sicurezza?

Nel caso non lo sapessi, esiste un sito web chiamato join.me che ti consente di effettuare la condivisione dello schermo da un browser, utilizzando un programma flash presente sulla pagina web. Fino a quando non ho incontrato questo servizio,...
posta 29.09.2011 - 01:12
8
risposte

Come proteggere dalla forza bruta

Come implementate correttamente le difese contro il forzamento bruto? È meglio memorizzare quante volte qualcuno ha provato ad accedere e bloccarli dopo X tentativi? E come si potrebbe identificare "qualcuno"? Con la sessione? Un IP?     
posta 03.12.2010 - 13:32
2
risposte

È PHP exploit unserialize () senza alcun metodo 'interessante'?

Dì che c'era una pagina web accessibile al pubblico con il seguente codice PHP: <?php class NotInteresting { public function noExploits() { echo "Whatever."; } } $unsafe = unserialize($_GET['data']); $unsafe->noExploits()...
posta 06.01.2015 - 11:53
1
risposta

Cosa dovrebbe essere incluso nelle regole di base per una revisione di attacco?

Ho elaborato alcune regole di base per una chiamata per attacco contraddittorio -revisione. Ho cercato di coprire i seguenti argomenti: Link al criterio che voglio applicare. Collegamento a un banco di prova e istruzioni di installazione...
posta 23.08.2011 - 20:23
1
risposta

Quanto sono sicuri i membri di appartenenza e ruolo ASP.NET predefiniti per Sql Server?

Ho un'idea molto semplice di come funzionano. Li ho usati molte volte quando avevo bisogno di un sistema di gestione degli utenti piuttosto che scrivere il mio. Ma dovrei usare questi per un sistema di produzione? Gli account utente di Windows i...
posta 17.06.2011 - 23:07
1
risposta

Qual è la migliore pratica per archiviare un segreto sul cloud?

Questo post su Protezione dei dati delle applicazioni Java per il cloud computing offre una buona introduzione all'utilizzo di un KeyStore Java per la protezione dei dati crittografati nel cloud. Trascura, tuttavia, di rispondere alla domanda...
posta 13.03.2013 - 20:44