Preguntas con etiqueta 'http'

preguntas con etiqueta
1
respuesta

¿Debo incluir un relleno aleatorio en cada solicitud y respuesta de HTTPS?

Según el siguiente documento, es posible descifrar el tráfico HTTPS inspeccionando las llamadas AJAX y utilizando el parámetro de tamaño como un oráculo criptográfico.    ¿Debo enviar una carga útil de longitud variable junto con cada GET...
hecha 30.09.2011 - 03:19
2
respuestas

¿Cuáles son los beneficios de seguridad para bloquear todas las solicitudes de encabezado de referencia http para el navegador web?

También me gustaría saber si pierde la funcionalidad del sitio. ¿Es este un beneficio de seguridad que es beneficioso que comprometer la funcionalidad (si se compromete en absoluto)? Lo que quiero decir con esto es uno del lado del cliente...
hecha 04.07.2015 - 20:20
1
respuesta

¿Por qué el cliente HTTP solo enviaría encabezados de autenticación una vez que se rechazó una solicitud no autenticada?

El uso predeterminado de las clases HttpClient y HttpWebRequest .NET está configurando la propiedad Credentials y luego le pide a la instancia de la clase que realice una solicitud HTTP. Si el objetivo requiere una autorizac...
hecha 10.09.2014 - 09:53
3
respuestas

¿Por qué el HSTS no se aplica automáticamente a los subdominios para mejorar la seguridad? ¿Por qué razón alguien no querría HSTS en cada subdominio?

HSTS restringe la conexión para que siempre sea HTTPS si se implementa en cualquier dominio, sin embargo, para que se aplique a subdominios, se necesita el atributo 'includeSubDomain'. ¿Por qué la política en sí misma no obliga a incluir todos l...
hecha 28.10.2016 - 13:20
1
respuesta

Encabezados de almacenamiento en caché HTTP: privado vs no-cache

Actualmente estamos revisando nuestro conjunto de encabezados de seguridad "sin caché": Cache-Control "no-cache, no-store, must-revalidate Pragma "no-cache" Expires 0 Además del "estándar" establecido anteriormente, enc...
hecha 04.08.2015 - 13:56
7
respuestas

¿Es obligatorio tener https en el sitio de comercio electrónico?

Vi que algunas secuencias de comandos de comercio electrónico también pueden ejecutarse sin ssl, pero todos recomiendan activarlo para proteger datos confidenciales. Acabo de ver un sitio que tiene un enlace de tienda electrónica, si hago cli...
hecha 05.04.2013 - 13:03
1
respuesta

Aplicaciones web (http): No entienda cómo la autenticación basada en token es segura

Ver algo como esto: enlace O más específico: Autenticación basada en token - Asegurar el token Mi pregunta ahora es: El hombre en el medio puede leer el token y usarlo en su propia solicitud. Quiero decir que no necesita saber...
hecha 12.03.2013 - 19:34
2
respuestas

¿Alguna razón para usar la autenticación “HTTP básica”?

Estoy creando una API simple que se usará en una aplicación de Android (que solo tendrán alrededor de 3-4 usuarios). La aplicación se conecta al servidor y envía solicitudes GET / PUT. He leído en Google que si estás usando SSL, el envío de c...
hecha 13.06.2015 - 02:25
4
respuestas

Hash de la Política de Seguridad del Contenido del script

<?php header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'"); ?> <script>console.log("Hello world");</script> Sin embargo, todavía recibo en Chrome:  ...
hecha 27.05.2014 - 03:42
1
respuesta

Estado actual de la cookie SameSite

Recientemente conocí el atributo de cookie SameSite que se usa para mitigar los ataques CSRF. El atributo AFAIK SameSite para cookies se implementa en Chrome y en algunos otros navegadores. Desde que estoy usando el servidor Tomcat para implemen...
hecha 13.06.2018 - 08:18