Domande con tag 'web-service'

domande con tag
0
risposte

Invio di parametri sensibili all'API pubblica?

Devo modificare un'API REST accessibile pubblicamente - non protetta, tutti i GET HTTP, accesso (teoricamente) limitato dalle chiavi API. Ho bisogno che uno degli endpoint ora accetti un parametro aggiuntivo, uno considerato come dati sensibi...
posta 07.09.2017 - 01:57
1
risposta

Quanto è sfruttabile un codice QR in un sistema di login?

Sto prendendo una sfida CTF su un servizio web. L'obiettivo è raccogliere la maggior parte delle informazioni possibili di un utente. Ho accesso al login e alla password, ma la password è scaduta e l'account deve essere recuperato caricando un c...
posta 15.10.2017 - 04:24
2
risposte

Come funzionano le applicazioni di banking online? [chiuso]

È sorprendentemente difficile trovare informazioni concrete su questo argomento. Ultimamente ho lavorato con il framework Flask e sono appena riuscito a creare un login corretto che memorizza le password in un database dopo averle cancellate. Du...
posta 27.07.2017 - 00:20
0
risposte

Token a conoscenza del tempo sulla sicurezza WS (WSSE)

Sto creando un server SOAP con WSSE. Come suggeriscono le specifiche ( link ), il mio cliente deve passare un token (nonce) a conoscenza del tempo che convalida che la richiesta è in tempo per evitare attacchi di riproduzione. Ma la mia preoccup...
posta 04.07.2017 - 21:08
1
risposta

Cert SSL che protegge un servizio Web locale in cui il dominio è ospitato esternamente

Abbiamo un cliente, chiamiamoli ABC123 Ltd, che ha un sito web esistente su abc123.ie ospitato da un provider di hosting. È solo un sito informativo con nessuna funzione di login \ commerce, quindi attualmente gira su HTTP. Continueranno con que...
posta 26.07.2017 - 11:24
3
risposte

Valore dell'autenticazione tra servizi

Sto cercando di capire il valore di avere un servizio non pubblico che richiede l'autenticazione da altri servizi che fanno parte dello stesso prodotto. È per quando qualcuno ottiene l'accesso a qualche altro host e poi attacca il servizio?  ...
posta 23.08.2016 - 03:05
0
risposte

Sicurezza web conveniente: invio di una chiave privata per il servizio su HTTPS rispetto all'archiviazione nell'immagine del disco rispetto a HSM

Attualmente sto costruendo un'applicazione la cui unica vera complessità risiede nella sicurezza della chiave privata. Non mi sento a mio agio nel mantenere la chiave privata nell'immagine del disco, da cui il server l'avrebbe letta, quindi ho p...
posta 15.10.2016 - 15:43
1
risposta

Scelta dello scenario di sicurezza per il servizio / client WCF ospitato da IIS

Ho un server web (ospitato utilizzando IIS) in DMZ ospita più servizi Web (WCF), i client sono applicazioni non server (sono applicazioni .NET indipendenti) che raggiungono questi servizi Web via Internet utilizzando il protocollo HTTPS. Il m...
posta 13.05.2015 - 16:30
1
risposta

È ragionevole utilizzare un proxy di sicurezza quando si integrano due applicazioni Web?

Background: stiamo integrando due applicazioni web. L'altra, l'applicazione A, è un servizio Internet accessibile pubblicamente, fornito da una terza parte e che offre API di servizi Web con le quali ci integreremo. L'altra, l'applicazione B,...
posta 28.02.2014 - 14:34
4
risposte

C'è un modo per conoscere l'e-mail di contatto su un modulo di contatto? [chiuso]

Quando un sito web ha un modulo di contatto in cui non viene mostrata l'e-mail, esiste un modo per sapere a quale email è il modulo di contatto che invia il messaggio?     
posta 04.02.2013 - 17:43