Preguntas con etiqueta 'api'

preguntas con etiqueta
1
respuesta

¿Por qué los sessoins de aplicaciones de teléfonos móviles nunca se agotan?

Esta pregunta habla sobre el tiempo de la sesión para aplicaciones web. Me he dado cuenta de que la mayoría de las aplicaciones para teléfonos móviles que uso nunca me piden que vuelva a iniciar sesión después del primer inicio de sesión. E...
hecha 10.06.2016 - 16:41
2
respuestas

¿Cómo aseguro un valor nonce dentro de la aplicación cuyo código fuente es público?

Estoy desarrollando un complemento para Nylas N1 (implementa Node). El complemento utilizará un flujo implícito para autenticar al usuario, ya que entiendo que es la mejor manera de manejar las aplicaciones del lado del cliente. Tengo una compre...
hecha 22.09.2016 - 14:42
1
respuesta

AES Encryption ¿es este encriptado demasiado complicado?

Estoy trabajando con la API de un proveedor y recomienda los siguientes pasos para transmitir un valor cifrado:    1) Convierta la contraseña de cifrado en una matriz de bytes.     2) Convierta el valor que se va a cifrar en una matriz de by...
hecha 20.12.2018 - 22:29
1
respuesta

¿Qué métodos puedo usar para evitar la omisión de límite de una API pública?

Entonces, digamos que después de 50 solicitudes en un período de 30 segundos, la IP de un usuario se incluye en la lista negra. Aún pueden omitir este bloque cambiando su IP, lo cual es bastante fácil y rápido hoy en día. Entonces, ¿qué otros...
hecha 30.10.2018 - 15:44
3
respuestas

¿Por qué permitir que una clave de API pública cambie?

Un método común de credencialización para una API es dar a cada uso un par de claves pública / privada. La clave pública se envía junto con la solicitud, y la clave privada se utiliza para firmar la solicitud (y el servidor la verifica y verific...
hecha 29.10.2018 - 15:54
2
respuestas

XMLHttpRequest CSRF falla con CORS permitido

Actualmente estoy trabajando en un PoC para un ataque CSRF, que debería ser posible debido a la configuración CORS laxa. Tengo permiso para atacar. Ahora el siguiente código debe enviar una solicitud de OPCIONES, que incluye todos los detalle...
hecha 21.09.2018 - 09:36
2
respuestas

CSRF con una API CORS JSON [duplicado]

Tenemos api.example.com que se comunica con app.example.com, una aplicación nativa de Android y una aplicación de iOS. Queremos permitir que otros terceros también se comuniquen con la API si así lo desean, y como tal tenemos un conjunto de en...
hecha 15.01.2018 - 15:11
1
respuesta

Clave privada remota para autoridad de certificación

Fondo He estado jugando con la idea de usar una clave privada protegida envuelta por una API, como Azure KeyVault o Amazon KMS para firmar certificados para la infraestructura de clave privada interna. Conceptualmente, esto es similar a us...
hecha 17.03.2018 - 22:59
1
respuesta

¿Una forma segura de almacenar detalles confidenciales de la API de los usuarios (local, almacenamiento o base de datos?

Estoy jugando con la idea de crear un sitio web para cryptocurrencies, donde un usuario pueda registrarse en mi sitio web, ingresar sus detalles de API para uno de los mercados de cambio que voy a admitir, lo que le permite comerciar en ese inte...
hecha 16.11.2017 - 08:46
2
respuestas

¿Las llamadas HTTP de cientos de ips en la misma subred son maliciosas?

Me han golpeado todos los días con llamadas de 50 a 100 millones a mi API y estoy tratando de identificar las subredes que son las fuentes. Encontré ejecutando una coincidencia en redis (donde se registran todas las solicitudes de las últimas...
hecha 27.05.2018 - 23:28