Preguntas con etiqueta 'json'

3
respuestas

¿Cómo deben defenderse los desarrolladores de aplicaciones web contra el secuestro JSON?

¿Cuál es la mejor defensa contra secuestro JSON ? ¿Puede alguien enumerar las defensas estándar y explicar sus fortalezas y debilidades? Aquí hay algunas defensas que he visto sugeridas: Si la respuesta JSON contiene datos confidenciales...
hecha 09.09.2011 - 05:09
2
respuestas

Los datos importantes se pueden modificar desde la consola del desarrollador. ¿Qué tengo que hacer?

Escenario: Tengo una lista de tareas pendientes que se genera con JavaScript utilizando JSON que se codificó en el lado del servidor. Puse el id del elemento todo en el atributo id de HTML. Entonces el proceso es así: El código del lado de...
hecha 14.12.2017 - 13:21
3
respuestas

¿Riesgos de seguridad con JSONP?

¿Cuáles son los riesgos de seguridad con JSONP ? ¿Es razonable usar JSONP en una nueva aplicación web, desde una perspectiva de seguridad, o es mejor usar un método diferente para los mashups web de origen cruzado? Si usar JSONP es razonable...
hecha 31.10.2012 - 17:39
1
respuesta

Tokens web JSON - ¿Cómo almacenar la clave de forma segura?

Estaba creando un servicio web RESTful cuando encontré los tokens web JSON como una alternativa a las cookies tradicionales para la autenticación. El concepto básico de este método es que el servidor es el único agente que conoce la clave secret...
hecha 29.04.2015 - 14:56
3
respuestas

¿Puedo evitar un ataque de repetición de mis JWT firmados?

He implementado una autenticación sin estado a través de HTTP en Laravel, usando JWTs. Envié mi nombre de usuario / contraseña desde la interfaz. El servidor autentica al usuario, devuelve un JWT firmado con un tiempo de caducidad. Estoy...
hecha 02.08.2014 - 18:13
1
respuesta

¿Cómo un token CSRF previene un ataque, y cómo puedo usarlo / evitarlo de manera segura para mi API JSON?

Estoy tratando de hacer que una aplicación iOS se comunique con un sitio web de Ruby on Rails usando JSON. Al intentar publicar un inicio de sesión para crear una sesión de usuario, descubrí que faltaba un token CSRF. No tenía ni idea de qué era...
hecha 22.12.2012 - 22:43
4
respuestas

¿Por qué usaría AES-256-CBC si AES-256-GCM es más seguro?

Supongo que lo esencial de mi pregunta es: ¿Hay casos en los que CBC sea mejor que GCM? La razón por la que pregunto es que al leer esta publicación por Matthew Green, y esta pregunta en el intercambio de pila de criptografía y esta expl...
hecha 22.04.2018 - 16:47
2
respuestas

CSRF con JSON POST

Estoy jugando con una aplicación de prueba que acepta solicitudes JSON y la respuesta también es JSON. Estoy intentando realizar un CSRF para una transacción que solo acepta datos JSON con el método POST en solicitud. La aplicación emite un erro...
hecha 30.12.2011 - 10:39
1
respuesta

¿Cómo evita JTI que se reproduzca un JWT?

De acuerdo con el RFC de JWT, un token de JWT puede tener opcionalmente un jti que interpreto como una ID única para un token de JWT. Parece que un UUID es un buen valor para un jti. La RFC afirma que la jti puede usarse para evitar que la JWT s...
hecha 30.05.2016 - 20:34
4
respuestas

Token web JSON comprometido (JWT) Portador Token

Estamos implementando un servicio REST que requiere autenticación y autorización. Debido a la naturaleza sin estado de las API REST, queremos utilizar JWT para realizar llamadas autenticadas a la API a través de un token, sin la necesidad de acc...
hecha 31.07.2014 - 01:36