Domande con tag 'web-service'

domande con tag
1
risposta

mantenere i nomi utente come informazioni di accesso è vulnerabilità in un sito web

Molti consigli per non pubblicare indirizzi email sul forum pubblico poiché alcuni potrebbero provare diversi tentativi di accesso usando alcuni attacchi di forza bruta, ecc., ma noto in diversi siti Web (anche in siti sensibili che trattano den...
posta 19.11.2016 - 06:13
1
risposta

Quanto dovrebbe durare un link condiviso (token nell'URL)?

Supponiamo di avere un servizio web come: GetComments(encryptedDiscussionID) // returns list of comments Dove encryptedDiscussionID è la versione crittografata dell'ID discussione reale nel database. La crittografia viene eseguita sul serve...
posta 09.12.2015 - 11:41
2
risposte

HTTPS in richiesta e HTTP in risposta [chiuso]

Se ho un'API che chiama un servizio web di back-end, è possibile utilizzare HTTPS nella richiesta e solo HTTP nella risposta? Ho una domanda del genere perché voglio proteggere il mio token OAuth nella mia richiesta. E quindi utilizzare WS-Se...
posta 26.01.2015 - 14:34
1
risposta

Perché la gente si fida della gestione delle dipendenze di PlayFramework2?

Se lavoravi in una grande azienda molto attenta alla sicurezza, costruiresti un prodotto basato su PlayFramework2 sotto? Dal momento che risolve automaticamente le dipendenze al momento del caricamento, non stai riponendo molta fiducia in qual...
posta 07.08.2014 - 16:17
2
risposte

Le migliori pratiche per due servizi Web che devono autenticarsi l'un l'altro [chiuso]

Ho due servizi Web che sono ospitati da due diverse applicazioni. Entrambe le applicazioni accedono ai rispettivi servizi web: Ora entrambi i servizi Web devono autenticarsi l'uno con l'altro. Mi sono venute in mente diverse soluzioni....
posta 10.06.2014 - 12:50
1
risposta

Forza i file di download protetti con le intestazioni auth

Da diversi client REST le credenziali vengono inviate con ogni richiesta tramite intestazioni di autorizzazione HTTP personalizzate al servizio REST. C'è un modo per forzare il download dei file nel browser quando si accede ai file memorizzati n...
posta 02.06.2014 - 17:02
1
risposta

Servizio TO Service Autenticazione e autorizzazione [duplicato]

Ho due servizi web A e B le richieste tra questi servizi sono http. Desidero quindi stabilire una connessione sicura tra il servizio A e il servizio B per garantire che la richiesta autorizzata e autenticata dalla fonte e i dati assicurativ...
posta 03.12.2013 - 15:34
2
risposte

Perché servizi come Twitter hanno token e segreti per app di terze parti?

Ho notato che se si dispone di un'app di Twitter di terze parti, si ottiene un token di accesso e un segreto del token di accesso per comunicare con Twitter. Perché ci sono due codici? Non dovrebbe essere sufficiente? Significa che ogni ap...
posta 27.02.2013 - 21:11
1
risposta

È pericoloso pubblicare file cgi eseguibili nella cartella pubblica?

In passato, Apache era solito servire file cgi solo dalla cartella cgi-bin , e si consigliava sempre di evitare di inserire file eseguibili nelle cartelle pubbliche. Tuttavia, i server Web di oggi servono in modo imparziale file cgi eseguibi...
posta 26.09.2012 - 19:44
1
risposta

Un'API XMLRPC esposta in un'applicazione Web rappresenta una minaccia?

Mi è stato assegnato l'incarico di testare uno dei nostri server Web in merito alla sicurezza. Uno dei server esegue IIS 7 e la sua applicazione si basa ampiamente sulle chiamate XMLRPC. Ho trovato che l'API per quelle chiamate era pubblicamente...
posta 24.10.2011 - 15:46