Cómo obtener valores de respuesta de seguridad a través de AJAX para la edición del usuario

Question

Cómo obtener valores de respuesta de seguridad a través de AJAX para la edición del usuario

#1 de SilverlightFox (3 votos)

0

Tengo un problema por el que nuestra aplicación tuvo un problema de análisis de la aplicación. La aplicación utiliza GET para recuperar información para una página de perfil de usuario (escrita en HTML / Javascript). Esta página tiene las preguntas y respuestas de seguridad del usuario, pero las respuestas están en texto sin formato en la respuesta sin procesar.

¿Cuál es la mejor manera de manejar esto? El usuario debe poder editar las respuestas (están ocultas) pero no queremos estar abiertos a ataques, por supuesto.

¿Es la mejor opción usar un texto falso para mostrar en el cuadro y luego revisar ese texto falso al guardar? Esta opción no muestra el número real de caracteres para lo que escribieron originalmente. ¿Existe un método mejor?

Revisé this security.stackexchange question pero la respuesta no dice qué método es el mejor para este escenario.

web-application account-security javascript .net ajax

pregunta JasonWilczak 11.07.2016 - 16:29

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application account-security javascript .net ajax

Cuando se usa LUKS, ¿qué partes del disco duro no están cifradas? ¿Cómo puedo proteger mi WiFi si tengo dos enrutadores?

score 3 · Accepted Answer

Es la mejor opción para usar un texto falso para mostrar en el cuadro y luego ¿Revisar ese texto falso en guardar?

Sí, esto suena como el camino a seguir.

Esta opción no muestra el número real de caracteres por lo que originalmente escrito. ¿Existe un método mejor?

Lo vería como una ventaja. Me gustaría ver poco beneficio al revelar el número de caracteres en la respuesta original.

También me sentiría tentado a almacenar estas respuestas en mi base de datos usando algo como bcrypt . Esto depende de si hay algún requisito para que un humano pueda verificar las respuestas (por ejemplo, en un centro de llamadas para autenticar al usuario). Si no, puede escribir en mayúsculas la respuesta y eliminar todos los datos no alfanuméricos. Esto permitiría que los usuarios ingresen fácilmente las respuestas correctas, con un pequeño aumento en el riesgo de que el atacante se agriete (por ejemplo, si ingresan a "Foo Boy's School" en lugar de "Foo Boys School" porque se almacenaría como FOOBOYSSCHOOL ). Sin embargo, se podrían aumentar las iteraciones para tener en cuenta esto, ya que esta información se debe utilizar raramente. Esto mitigaría una situación en la que tu tabla de respuestas está expuesta a los atacantes, donde podrían usarlas para restablecer la contraseña.

Una vez más, esto depende de cómo funcione cualquier mecanismo de restablecimiento de contraseña para su sistema y su nivel de riesgo aceptable.