Preguntas con etiqueta 'oauth2'

1
respuesta

Autorizar la comunicación transitiva entre aplicaciones en nombre del usuario

Estoy tratando de envolver mi cabeza para seguir una pregunta de seguridad web por un tiempo. Digamos que tenemos un sistema configurado como se muestra en la siguiente imagen. Hayunaaplicaciónprincipalconlaqueelusuariointeractúalamayorparte...
hecha 03.06.2018 - 09:39
2
respuestas

¿Está bien escribir el token de OidC Bearer en el registro?

Durante el desarrollo, agregamos a los registros de errores los detalles de las solicitudes http, incluidos los encabezados, para comprender mejor la investigación de errores. Nuestro arquitecto señaló que no debemos colocar información confiden...
hecha 17.09.2017 - 14:33
2
respuestas

¿Por qué la mayoría de los sitios web modernos no envían las contraseñas? [duplicar]

He estado investigando varios protocolos utilizados para enviar nombres de usuario y contraseñas a servidores web para autenticar, y aunque obviamente todos ellos usan SSL / TLS, me sorprendió un poco ver que incluso con mi banca en línea los...
hecha 08.11.2017 - 20:48
1
respuesta

¿Cómo funciona la seguridad en un escenario de copia de seguridad de nube a nube?

Estoy pensando en utilizar Spinbackup, que es una copia de seguridad de gmail de nube a nube, pero me resistí a la idea de decirle a Spinbackup mi contraseña de gmail por razones obvias. Sin embargo, en la página de seguridad de Spinbackup dic...
hecha 25.05.2018 - 09:24
1
respuesta

¿Es un problema de privacidad el uso de servicios OAuth2 como Google o Facebook Single Sign-On?

Con toda la cobertura del escándalo de Cambridge Analytica, parece que esto no fue una violación de datos, sino que Cambridge Analytica no reveló correctamente cómo utilizarían los datos. ¿Iniciar sesión en un sitio web utilizando un servicio...
hecha 22.03.2018 - 03:43
1
respuesta

Asegurar una API multiusuario con SSO y diferentes roles por arrendatario

Estoy trabajando en el desarrollo de una API REST que será utilizada por los clientes de primera parte que desarrollamos, y los clientes de terceros en el futuro. Los clientes principales incluyen una aplicación del lado del cliente SPA y progra...
hecha 28.08.2017 - 17:31
1
respuesta

OAuth2 Flujo implícito: ¿Posibles vectores de ataque de token de actualización a través de CORS?

Actualmente estamos implementando una aplicación de una sola página (Angular2) y, por lo tanto, nos hemos encontrado con el problema estándar de "cómo asegurar nuestra API de backend". Aparentemente, la solución estándar para esto es utilizar...
hecha 01.12.2016 - 16:34
1
respuesta

botón de inicio de sesión de Google: ¿qué impide que una aplicación fraudulenta robe un token?

Estos son los pasos para configurar un botón de inicio de sesión de Google en un cliente web: enlace Cuando haga clic en el botón de inicio de sesión de Google, aparecerá un mensaje emergente: Todas las interacciones son entre el I...
hecha 08.09.2018 - 00:22
2
respuestas

¿Cómo puede un usuario final verificar la autenticidad del formulario de inicio de sesión de un proveedor de autenticación externo?

Dado el uso ubicuo de proveedores de autenticación de terceros en las aplicaciones web de hoy, ¿cómo pueden los usuarios finales verificar la autenticidad de los formularios de inicio de sesión que recopilan sus credenciales? ¿Qué es lo que impi...
hecha 13.01.2018 - 20:37
1
respuesta

¿Es seguro almacenar el valor del parámetro de estado en una cookie?

Según enlace :    El cliente DEBE implementar la protección CSRF para su URI de redirección.      Esto se logra típicamente requiriendo cualquier solicitud enviada al      el punto final de URI de redirección para incluir un valor que vincul...
hecha 25.10.2016 - 23:28