Domande con tag 'web-application'

4
risposte

È sicuro controllare la password con l'API HIPP Pwned Passwords durante la registrazione dell'account?

L'utente registra l'account su un'app Web. Le password sono salate e hash. Ma è sicuro verificare la password con l'HIBP API delle password pwned , prima di salarla e eseguirne l'hashing? Ovviamente l'app utilizza TLS. Quindi, se la password...
posta 12.03.2018 - 16:24
4
risposte

evitare di colpire DB per autenticare un utente su OGNI richiesta in architettura di app web senza stato?

Riepilogo Una volta che un utente si collega a un sito Web e le sue credenziali nome utente / password sono verificate e viene stabilita una sessione attiva, è possibile evitare di colpire il DB per ogni singola richiesta da quell'utente? Q...
posta 22.01.2014 - 00:30
1
risposta

Quali attacchi di cookie sono possibili tra computer in domini DNS correlati (* .example.com)?

Qui, diversi server nello stesso dominio DNS emettono cookie in una varietà di impostazioni (scope, HTTPS, Secure) e un altro host emette un cookie con lo stesso valore. Esempio Supponiamo che un utente abbia il seguente cookie impostato...
posta 05.03.2012 - 02:03
7
risposte

È accettabile che un sito HR interno funzioni su HTTP? [chiuso]

Il nostro sito HR interno, che contiene i nostri dati personali, le buste paga, i dettagli delle vacanze ecc., si basa interamente su un sito http di base. Il sito è accessibile solo all'interno della rete aziendale e non è possibile accedervi,...
posta 22.02.2017 - 16:48
5
risposte

Sicurezza di un reindirizzamento iniziale da http://example.com a https://example.com

Supponi che http://example.com/<foo> reindirizzi sistematicamente a https://example.com/<foo> . Inserisco http://example.com nella barra degli indirizzi del mio browser e vedo una pagina caricata e la barra degli URL or...
posta 03.11.2013 - 10:56
4
risposte

Va bene rivelare i nomi delle tabelle del database?

Sto sviluppando un'applicazione web che utilizza il database. Devo eseguire alcune operazioni che richiedono i nomi delle tabelle del database e lo schema della tabella db. Sarà sicuro se invio questo tipo di informazioni al lato client (JavaScr...
posta 06.05.2013 - 10:11
2
risposte

Come può una applicazione software difendersi da DoS o DDoS?

La maggior parte delle soluzioni per gli attacchi DoS non sono a livello di applicazione. Nel caso in cui io stia usando un server proxy, quali sono le possibili contromisure per la DoS a livello di applicazione?     
posta 12.11.2010 - 16:41
8
risposte

Trattare con eccessivi tentativi di "Carding"

Attualmente stiamo configurando usando Magento su uno stack LAMP per la nostra piattaforma di e-commerce. A partire da un mese o due fa abbiamo iniziato a notare molti tentativi di cardatura contro il nostro sito web. Tutte le transazioni tentat...
posta 29.08.2012 - 15:50
5
risposte

La modifica dell'estensione di un file eseguibile caricato in .png lo rende sicuro?

Un mio collega ha un sito web personale in cui consente agli utenti di caricare qualsiasi cosa all'interno di una certa dimensione, ma prima del caricamento effettivo controlla di vedere l'estensione del file: if ( $type == 'image/gif'){...
posta 09.08.2016 - 12:09
4
risposte

La raccomandazione OWASP relativa a localstorage è ancora valida?

Attualmente sto lavorando su un'applicazione che è un'applicazione a singola pagina creata con Angular. Viene servito su HTTPS, utilizzando HSTS. Per l'autenticazione, stiamo usando Auth0. La documentazione di Auth0 consiglia di memorizzare...
posta 19.12.2017 - 14:51