Preguntas con etiqueta 'django'

4
respuestas

¿Es necesario que una cookie CSRF sea HttpOnly?

Recientemente se nos entregó un informe de seguridad que contiene:    Cookie (s) sin el conjunto de indicadores HttpOnly vulnerabilidad, que aparentemente teníamos en una de nuestras aplicaciones internas. La solución aplicada fue tan...
hecha 15.12.2017 - 05:01
1
respuesta

Seguridad Django SECRET_KEY, ¿cómo son los métodos más seguros

Estoy llegando a un punto en el que implementaré mi aplicación Django en el entorno hostil conocido como "internet" y estoy tratando de entender mejor las ramificaciones de Django SECRET_KEY . Uno de los procedimientos estándar que parece...
hecha 26.06.2014 - 08:42
3
respuestas

¿Cuáles son los pros y los contras de usar sha256 para codificar una contraseña antes de pasarla a bcrypt?

Hace poco me di cuenta del hecho de que bcrypt trunca las contraseñas a 72 caracteres. En la práctica, mi intuición es que esto no plantea ningún problema de seguridad importante. Sin embargo, entiendo que significa que cualquier biblioteca de s...
hecha 22.06.2015 - 16:48
3
respuestas

Demostrando la necesidad de actualizar Django

La historia: En uno de nuestros proyectos, estamos usando el framework web Django. Pero, actualmente estamos bloqueados en 1.6.11 (principalmente porque en 1.7 se abandonó el soporte de Python 2.6, estamos trabajando en ello, pero va muy le...
hecha 21.12.2016 - 20:35
2
respuestas

¿Por qué es necesaria la comprobación de remitentes para que Django impida el CSRF?

Hoy aprendí que la protección CSRF de Django utiliza la comprobación del encabezado de referencia (r) er, además de verificar un campo de formulario oculto contra una cookie. Parece ser importante, a juzgar por los documentos y el problema a con...
hecha 06.08.2015 - 21:53
2
respuestas

¿Es Django vulnerable a shellshock?

¿La reciente vulnerabilidad de shellshock en bash afecta el stock de Django? Supongamos que se utilizan cualquiera de las configuraciones de producción enumeradas en el sitio de Django (gunicorn, wsgi, nginx). Si no, ¿hay extensiones de Djang...
hecha 25.09.2014 - 20:21
1
respuesta

Cómo hacer que un archivo sea privado asegurando la URL que solo pueden ver los usuarios autenticados

Me preguntaba si hay una forma de asegurar que una imagen o un archivo se oculte cuando no esté autenticado. Supongamos que hay una imagen en mi sitio web que solo se puede ver si el usuario está autenticado. Pero la cosa es que puedo copiar...
hecha 18.01.2015 - 07:34
4
respuestas

¿La mejor manera de almacenar / recuperar archivos de claves confidenciales?

Tenemos nuestros servidores web funcionando en AWS EC2. Tenemos alrededor de 30 claves / contraseñas / etc API (datos confidenciales) que se configuran en el entorno para que nuestra aplicación las use. Cada vez que implementamos, iniciamos una...
hecha 30.10.2014 - 18:48
1
respuesta

BREACH ataque vs filtrado entrada de usuario reflejada

Estoy a cargo de la seguridad aplicativa de nuestra aplicación y me gustaría probar nuestra exposición al ataque BREACH. Nuestra aplicación web basada en django refleja la entrada de usuario filtrada y sirve un token CSRF. De la forma en...
hecha 12.02.2016 - 17:05
2
respuestas

¿Qué debo usar para la autenticación de mi API de Django Rest?

Acabo de leer este artículo sobre por qué JWT está chupando. Ahora no estoy seguro de qué debo usar para la autenticación. Para contexto: la API que escribí se usa principalmente en aplicaciones móviles (iOS y Android). En el futuro también...
hecha 29.04.2018 - 17:16