Preguntas con etiqueta 'http'

preguntas con etiqueta
3
respuestas

Servidor HTTP: tiempo de respuesta en la solicitud de inicio de sesión

Tengo un sitio en el que me gustaría evitar que un atacante no autenticado sepa si existe una cuenta. En el sitio, las contraseñas se procesan mediante bcrypt, por lo que las solicitudes de inicio de sesión deben hacer una comparación de bcryp...
hecha 19.05.2015 - 18:12
2
respuestas

¿Es seguro DIGEST-MD5 si se realiza a través de HTTPS?

Si la negociación DIGEST-MD5 se realiza a través de una conexión HTTPS en lugar de HTTP, ¿eso evita esta lista de desventajas de Wikipedia ?:    La autenticación de acceso implícita está pensada como un compromiso de seguridad. Está destinado...
hecha 28.03.2012 - 16:45
1
respuesta

¿Hay situaciones en las que solo se puede montar un MITM pasivo?

Esto surgió al discutir Web & HTTP inseguro: uso de RSA para cifrar contraseñas en el lado del cliente ¿Existe alguna situación de este tipo al solicitar una página HTTP donde un atacante puede leer todas las comunicaciones pero no pu...
hecha 28.04.2013 - 10:42
2
respuestas

Un código de autenticación de mensaje adecuado para REST

Mi servicio REST actualmente usa la autenticación SCRAM para emitir tokens para llamantes y usuarios. Los tokens emitidos por el intercambio SCRAM tienen un tiempo de caducidad después del cual se requiere un inicio de sesión repetido. Tambié...
hecha 28.10.2012 - 11:51
2
respuestas

HTTP Content-Policy-Security-Nonce and Caching

¿Alguien aquí puede aclarar cómo afecta el almacenamiento en caché al agregar un nonce=value a todos los javascript en línea? Si el nonce debe ser único e impredecible, entonces uno tendría que deshabilitar todo el caché del lado del s...
hecha 02.12.2016 - 23:22
7
respuestas

¿Debo evitar el envío de solicitudes GET para las URL que normalmente se utilizan con la solicitud POST?

Hay una url que normalmente se opera con solicitudes POST (es decir, la solicitud POST se envía cuando el usuario envía el formulario). Pero el atacante puede formar una solicitud GET con parámetros que se envían en la solicitud POST. Esta solic...
hecha 18.10.2011 - 17:29
3
respuestas

HSTS en sitios disponibles a través de HTTP y HTTPS

Me pregunto si tiene sentido habilitar HSTS en un sitio que se sirve a través de HTTPS, así como a través de HTTP. Lo que quiero decir es agregar HSTS-Header si se accede al sitio a través de HTTPS. Pero no hay redirección de HTTP a HTTPS. El...
hecha 23.10.2015 - 13:06
2
respuestas

En realidad, ¿no es malo redirigir http a https? [duplicar]

Tengo una pregunta de dos partes sobre la pregunta # 570288 sobre ServerFault. Pregunta:    ¿Es malo redirigir http a https? Respuesta aceptada (185 votos arriba):    [...] infierno no. Es muy bueno. Parte 1 ¿Es esa respu...
hecha 30.01.2014 - 23:46
3
respuestas

¿Hay algún beneficio de seguridad para conectarse a través de HTTPS si el certificado no es válido?

TL; DR: ¿Hay alguna diferencia entre un authentic y un secure ? Más precisamente, ¿hay algún beneficio de seguridad para estar conectado a un sitio web a través de HTTPS si el certificado no es válido? Después de una prueba que hice hoy,...
hecha 09.12.2016 - 17:36
1
respuesta

¿Son los archivos de componentes HTML (HTC) un posible vector de ataque?

Estoy trabajando en un sitio que tiene una preocupación más alta de lo normal por la seguridad del usuario. Recientemente he estado trabajando en algunos problemas de CSS con versiones anteriores de IE (admitimos 7 y versiones posteriores) y enc...
hecha 02.01.2014 - 17:41