Preguntas con etiqueta 'appsec'

preguntas con etiqueta
4
respuestas

¿Usar el hash de contraseña como ID de sesión?

Para una aplicación web de cliente enriquecido, en el servidor necesito verificar que cada llamada provenga de un usuario que haya iniciado sesión legalmente. Obviamente, la identificación del usuario no es suficiente, porque es fácil de adivina...
hecha 30.06.2011 - 18:32
1
respuesta

Prevención de CSRF para servicios RESTful

¿Tengo razón si reclamo que no existe ninguna protección confiable contra CSRF para un entorno de estado actual? Tengo un servicio RESTful (compilación con RESTEasy) que se debe proteger contra ataques CSRF. Busqué en Google para la prevención d...
hecha 09.09.2013 - 19:53
4
respuestas

¿Cómo debe un webmaster administrar todas sus contraseñas y claves?

Tengo varias claves privadas que uso para ssh en AWS, dreamhost, github, etc. Tengo frases de contraseña para todas estas claves privadas que son demasiado complejas para recordar. Tengo las contraseñas de mysql que mi aplicación y yo debemos co...
hecha 30.08.2013 - 19:22
2
respuestas

Almacenar la información de autenticación de terceros de forma segura

Supongamos que hay una aplicación web multiusuario que requiere acceso al buzón del usuario (en un servicio de terceros, como gmail, etc.). Este acceso debe ser persistente. Lo que significa que tendríamos que almacenar la contraseña de usuario....
hecha 24.12.2010 - 09:26
3
respuestas

Usos prácticos no gubernamentales de los modelos Biba, Bell-LaPadula, etc.

Por ejemplo, el modelo Biba ahora está colgando en las versiones actuales de Windows. Las cosas que se descargan de Internet están etiquetadas como tales. Las cosas de Internet (bajo) no pueden alterar las cosas de usuario (medio) que no pueden...
hecha 05.04.2011 - 20:37
2
respuestas

Canonicalización y codificación de salida

Estoy leyendo la Lista de verificación de prácticas de codificación segura de OWASP y en su sección "Validación de entrada" tienen un elemento que dice:    Si se debe permitir el ingreso de caracteres potencialmente peligrosos ( <>"'...
hecha 09.08.2012 - 03:40
3
respuestas

¿Cómo aumenta la seguridad la derivación de la clave maestra KeePass?

No entiendo cómo la derivación de clave KeePass aumenta la seguridad de la contraseña db en absoluto. Primero, intentaré explicar lo que entendí de la derivación clave que se describe aquí . Usaré un pseudo código: const WORKFACTOR = 6000; v...
hecha 05.09.2012 - 19:42
3
respuestas

¿Verifica que un usuario del sitio web esté detrás de un firewall corporativo?

Tenemos un sitio web de comercio electrónico público alojado en nuestro centro de datos en el sitio. Para las personas que se encuentran dentro del firewall corporativo que golpea el sitio web, quiero mostrar información de perfil sobre la solic...
hecha 10.06.2011 - 20:12
2
respuestas

La mejor manera de establecer de forma segura una cookie de sesión en otro dominio

Actualmente tenemos 2 sitios http://www.foo.co.uk y https://secure.foo.com . El sitio www no tiene un certificado SSL y está en un dominio diferente. Tenemos un botón de inicio de sesión en http://www.foo.co.uk que cuan...
hecha 25.10.2012 - 10:21
2
respuestas

Página de contraseña segura olvidada: ¿es viable una implementación sin servidor?

Esta es otra pregunta "¿Cómo se hace correctamente una página de contraseña olvidada"? Sin embargo, aborda explícitamente dos opciones de implementación que he encontrado recientemente. Los enfoques comunes [1,2] que conozco se basan en un to...
hecha 17.02.2015 - 10:57