Todas las preguntas

3
respuestas

Autenticación entre múltiples sistemas / plataformas dentro del mismo contexto de aplicación web

Considere el siguiente escenario: la aplicación web está usando dos sistemas separados (pueden compartir datos / estado a través de DB). El primero se usa para procesar material web estándar como solicitudes / respuestas HTTP, contenido HTML,...
pregunta 12.09.2011 - 15:14
2
respuestas

¿Es el correo electrónico más seguro cuando no se permite que pase ningún contenido comprimido?

Ah. Esta es una pregunta un poco suave, pero creo que podría haber algunas aquí que pueden compartir alguna información. Soy un desarrollador. A veces necesito enviar un archivo DLL o EXE (solucionado) a un cliente. Si este cliente está en un...
pregunta 27.09.2011 - 12:05
2
respuestas

¿Usando “canarios” para detectar la intrusión?

No he leído mucho acerca de esta técnica, pero me pregunto si hay algún tipo de práctica recomendada en relación con el uso de "canarios" para detectar ciertos tipos de intrusión: Cree una cuenta falsa que nunca deba iniciar sesión. Si algui...
pregunta 22.12.2011 - 22:40
3
respuestas

¿Cómo puedo evitar el XSS reflejado en mis servicios web JSON?

Tengo un servicio web que toma datos POST (JSON) y devuelve parte del objeto de solicitud en la respuesta JSON. Esto está abierto a XSS si la respuesta es representada como HTML por el navegador, ya que alguien podría agregar HTML arbitrario...
pregunta 20.09.2012 - 02:25
2
respuestas

¿Cifrado autenticado versus suma de comprobación / hash cifrada y contenida?

Entonces leí enlace y enlace y parece que no estoy siguiendo el concepto. De los ejemplos simples proporcionados, parece que el cifrado autenticado pretende demostrar que el mensaje no se ha modificado, es decir, que un atacante no ha mod...
pregunta 16.04.2012 - 03:19
3
respuestas

¿Cómo debe responder una página web a un ataque CSRF?

Sé que utilizas tokens para prevenir CSRF, pero ¿cómo debería responder la página receptora cuando es atacada? ¿Debería fallar en silencio, fingiendo que la transacción fue exitosa? ¿Mostrar un mensaje de error? ¿Registrar el ataque? Por favo...
pregunta 28.10.2011 - 05:48
1
respuesta

¿Qué es SpeedSurfing?

Mi antivirus Sophos detectó lo que llama "SpeedSurfing", y mi Google-fu me está fallando. La extensión de Chrome que eliminó fue Boomerang for Gmail .     
pregunta 17.03.2018 - 20:35
2
respuestas

Autenticación sin estado con JWT: el token de actualización no es sin estado

En mi arquitectura actual, mi backend emite un JWT de vuelta al cliente (móvil). La razón principal para optar por un JWT es la autenticación sin estado, es decir, el servidor no necesita almacenar datos en la sesión / base de datos, lo que sign...
pregunta 10.06.2017 - 22:04
2
respuestas

OCSP y CRL: ¿Se especifican en CA o certificado de cliente?

Aquí hay un ejemplo de configuración PKI: * Root CA (offline) * Issuing CA * Client 1 * Client 2 Me gustaría especificar un punto de distribución de CRL para las CRL generadas por la CA raíz y una URL de OCSP para la CA emisora. P...
pregunta 27.12.2011 - 13:57
3
respuestas

¿Implicaciones de privacidad de IDFA / IDFV? (iPhone / iOS)

Aparentemente, iOS 6 introdujo IDFA, "identificador para anunciantes", que identifica su dispositivo para que los anunciantes puedan rastrearlo y enviarle anuncios. Parece que también introdujeron IDFV, "identificador para proveedor". ¿Cómo f...
pregunta 16.10.2012 - 21:49