Domande con tag 'web-application'

domande con tag
10
risposte

Come posso verificare in sicurezza se esiste un nome utente?

Sto lavorando sulla funzionalità di onboarding della mia app Web e ad un certo punto sto chiedendo a un nuovo utente di scegliere un nome utente. Quando l'utente arriva a questo punto, ho la sua e-mail e un numero di cellulare che è convalida...
posta 16.05.2016 - 19:30
3
risposte

È possibile utilizzare una chiave GPG o SSH per l'autenticazione basata sul Web in modo sicuro?

Diciamo ipoteticamente che sto scrivendo un'applicazione web indirizzata a utenti tecnicamente inclini alla sicurezza che non hanno problemi a generare e usare chiavi GPG o SSH. È possibile utilizzare detti tasti per autenticare con un'applic...
posta 17.10.2013 - 15:11
5
risposte

Qual è il modo corretto per implementare token modulo anti-CSRF?

Sono pienamente consapevole di CSRF e ho già implementato alcuni moduli sicuri, ma non sono mai stato contento i risultati ancora. Ho creato token come md5 di username, informazioni sul modulo e salt e lo ho memorizzato in una sessione. Q...
posta 12.11.2010 - 08:58
5
risposte

Come migliorare come esperto di sicurezza

Sono uno sviluppatore di software professionale con un grande interesse per la sicurezza delle applicazioni web. Direi che probabilmente ho una migliore comprensione della sicurezza delle applicazioni web rispetto allo sviluppatore medio. Il mio...
posta 29.09.2011 - 20:11
1
risposta

Perché utilizzare un token di autenticazione al posto del nome utente / password per richiesta?

L'autore del link consiglia: DO NOT STORE THE PERSISTENT LOGIN COOKIE (TOKEN) IN YOUR DATABASE, ONLY A HASH OF IT! [...] use strong salted hashing (bcrypt / phpass) when storing persistent login tokens. Ho avuto l'impressione che i coo...
posta 18.07.2014 - 20:08
3
risposte

Esiste un motivo di sicurezza per un sito per limitare il numero di volte in cui un utente può modificare la sua password?

C'è un motivo di sicurezza per impedire a un utente di cambiare la sua password tutte le volte che vogliono? Ho trovato questa politica di sicurezza in un sito e non sono sicuro del motivo per cui la applica. Un motivo per cui posso immaginar...
posta 10.07.2013 - 08:17
2
risposte

I dati importanti possono essere modificati dalla console per sviluppatori. Cosa dovrei fare?

Scenario: ho un elenco di cose da fare generato con JavaScript usando JSON che è stato codificato sul lato server. Ho inserito l'id dell'oggetto todo nell'attributo ID HTML. Quindi il processo va in questo modo: Il codice lato server crea...
posta 14.12.2017 - 13:21
4
risposte

Devo bloccare Yandex Bot?

Ho un'applicazione web che lo spider Yandex sta tentando di accedere al back-end alcune volte. Dopo questa ricerca spider, ci sono pochi indirizzi IP russi che tentano di accedere al back-end e non riescono ad accedere. Devo bloccare Yandex o...
posta 09.05.2016 - 08:08
5
risposte

Il filtraggio dei dati di input dell'utente è sufficiente o dovrebbe essere analizzato?

In un'applicazione web ci potrebbero essere due approcci per mitigare gli attacchi XSS: tutti i dati di input possono essere filtrati (rimuovendo tutti i dati "cattivi") o l'input può essere analizzato, tokenizzato e prodotto solo con i ta...
posta 11.11.2010 - 22:45
3
risposte

Quali cose utili posso fare con l'elemento "keygen" html5?

C'è un nuovo * keygen elemento nella specifica html5 . È supportato nei principali browser ad eccezione di Internet Explorer e Safari. Ecco come appare: <form action="processkey.cgi" method="post" enctype="multipart/form-data">...
posta 15.08.2011 - 11:56