Preguntas con etiqueta 'http'

preguntas con etiqueta
2
respuestas

En la práctica, ¿es seguro establecer el encabezado Strict-Transport-Security en las solicitudes que no son SSL?

La Sección 7.2 de RFC 6797 declara:    Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP   transportado a través de transporte no seguro. En la práctica, tengo muchos hosts detrás de un equilibrador de carg...
hecha 18.12.2015 - 22:28
3
respuestas

¿Qué propósito tiene Access-Control-Allow-Origin?

Tengo un malentendido con respecto al encabezado Access-Control-Allow-Origin de CORS. Su nombre dice "permitir", y entiendo que si hago una solicitud desde un "Origen" que no está permitido, la solicitud debe fallar. Pero siempre pu...
hecha 14.04.2016 - 15:07
2
respuestas

¿Son posibles los ataques MITM en los bucles de retorno HTTP?

Tengo un servidor web que se ejecuta en example.com . El servidor web realiza una solicitud del lado del servidor a example.com que produce un bucle de retorno, por lo que la solicitud nunca pasa a través de la red. ¿Esta solicit...
hecha 18.06.2014 - 22:15
4
respuestas

¿La comprobación de encabezado de referencia ofrece alguna mejora de seguridad en el mundo real?

En el trabajo, usamos un portal central que proporciona funcionalidad básica de SSO a otras aplicaciones. Además de verificar los datos de SSO enviados, todas nuestras aplicaciones internas existentes (utilizadas por el público) también verifica...
hecha 26.08.2014 - 15:08
2
respuestas

¿Qué tan seguro es acceder al tráfico HTTP (no SSL) cuando se usa VPN y se conecta a una red WiFi pública?

Supongamos que estoy usando WiFi pública y estoy conectado a la red de mi oficina a través de VPN. Estoy accediendo a algunas aplicaciones que no están habilitadas para SSL. Qué fácil es para un atacante ver el tráfico si también utiliza el mism...
hecha 08.07.2016 - 17:24
2
respuestas

¿Qué tan seguro es proteger el contenido confidencial mediante la URL con el hash MD5 y sin otra autorización?

Supongamos que tenemos un sitio web que utiliza hash MD5 en una URL como esta: http://somewebsite.com/XXX/ donde XXX es hash MD5. El contenido de este sitio web puede tener información confidencial, como detalles de transacciones...
hecha 17.09.2014 - 21:58
1
respuesta

¿Por qué puedo ver las solicitudes HTTPS completas a través de Fiddler?

Estoy probando una API web de C # alojada en un servidor remoto, y estoy monitoreando el tráfico HTTPS usando Fiddler. Lo que me confunde es que a través de Fiddler puedo ver toda la carga útil de POST, los encabezados y las direcciones URL d...
hecha 02.03.2018 - 12:38
2
respuestas

¿La dirección de envío, la dirección de correo electrónico, etc. están sin cifrar a través de Internet? como lo hace Three UK - ¿una mala práctica de seguridad?

Por lo tanto, uso la red Three en el Reino Unido para acceder a Internet en mi teléfono. Recientemente, noté que cuando visitaba mobile.three.co.uk para acceder a servicios que también incluyen información sobre mi dirección de correo electrónic...
hecha 08.06.2017 - 20:52
1
respuesta

Cerrar sesión de autenticación HTTP básica

Como se ve en enlace , hay algunas formas interesantes de cerrar la sesión de un usuario desde la autenticación básica HTTP. Actualmente estoy enviando un HTTP 401 para hacerlo así: GET logout.php <?php header('HTTP/1.1 401 Unautho...
hecha 30.09.2014 - 19:00
1
respuesta

¿Estoy seguro si estoy buscando en / cgi-bin / return HTTP 403?

Me pregunto si mi servidor podría ser vulnerable a ShellShock (o mejor: era vulnerable). La prueba de shell revela que soy vulnerable: $ export evil='() { :;}; echo vulnerable'; bash -c echo; vulnerable No necesito CGI para ninguno de mis s...
hecha 25.09.2014 - 22:36