Preguntas con etiqueta 'same-origin-policy'

preguntas con etiqueta
3
respuestas

¿Cómo se aplica la misma política de origen a dos ventanas diferentes de un navegador?

Un escenario particular en el que estoy interesado: si abro una ventana del navegador Chrome con la opción --disable-web-security , entonces el SOP está deshabilitado. ¿Podrá esta ventana acceder a los datos de los sitios web abiertos en o...
hecha 22.07.2016 - 21:00
1
respuesta

¿Cuándo la política del mismo origen impide que se envíe una solicitud?

He estado lidiando con algunas confusiones sobre la política del mismo origen. Digamos que mi ataque se ve así. En la página en evil.com que el atacante ha puesto (jQuery): $.post('http://bank.com/transfer', { to: 'ciro', ammount: '1...
hecha 11.12.2016 - 04:47
2
respuestas

¿La visualización de imágenes en los perfiles por URL tiene implicaciones de seguridad?

Actualmente estoy desarrollando una aplicación web, en la que los usuarios pueden crear un perfil y completar la información del usuario. En esto también he guardado una Sección para la imagen de perfil, en la que he usado una lógica que no debe...
hecha 24.06.2016 - 09:34
1
respuesta

¿Cómo se aplica la política del mismo origen entre las pestañas del navegador? [duplicar]

Supongamos que tenemos 2 pestañas abiertas en un navegador que contiene la página A (A.html, A.js) en la primera pestaña y la página B (B.html, B. js) en la segunda pestaña y esa página A y B tienen el mismo origen (esquema, dominio, p...
hecha 28.01.2015 - 20:26
1
respuesta

SSO a través de HMAC y clave compartida. ¿Se puede mejorar esto?

Dado un usuario autenticado en A.com, queremos redirigir al usuario a B.com para que se autentique inmediatamente. El esquema que estoy considerando es muy básico: A.com y B.com comparten la clave S . En A.com, redirija al usuario a enla...
hecha 10.02.2014 - 23:11
1
respuesta

¿Qué servidores o clientes son inmunes a los ataques de cookies de dominio relacionado? (* .example.com)

En esta pregunta, quiero identificar los navegadores, servidores o implementaciones que son inmunes a los ataques de cookies de dominio relacionados (por ejemplo, .com vs b.example.com) . Al carecer de una solución tangible, esto podría miti...
hecha 06.03.2012 - 21:32
1
respuesta

¿Es un riesgo de seguridad que los navegadores puedan obtener imágenes (y / u otros recursos) de forma cruzada entre dominios?

La misma política de origen nos protege del sitio malintencionado que manipula los datos en nuestro sitio de confianza al no permitir solicitudes que envíen la cookie de autenticación, por ejemplo. Pero si entiendo correctamente, las imágenes, l...
hecha 27.10.2016 - 10:58
1
respuesta

¿Por qué el encabezado del Referer no usa "el mismo origen" de forma predeterminada?

La misma política de origen es una parte importante del modelo de seguridad, por lo que está "activada" de manera predeterminada para la mayoría de las cosas, pero para el referente no parece ser así. El valor predeterminado para los navegadores...
hecha 20.11.2018 - 09:59
1
respuesta

¿La misma política de origen para la web solo es útil debido a las cookies?

Hay una misma política de origen en el navegador para garantizar que, por ejemplo, El sitio malo no leerá tus datos de Facebook. Pero parece que el único problema que intenta resolver es que las cookies se envían automáticamente con la solicitud...
hecha 02.02.2016 - 15:36
3
respuestas

¿Por qué la misma política de origen hace que mi PoC falle cuando no necesito leer los datos de devolución?

Estoy realizando un análisis de vulnerabilidad autorizado en un servicio web personalizado y he descubierto una vulnerabilidad CSRF. Debido a que no hay tokens de formularios junto con el servicio sin verificar el encabezado de origen, creí q...
hecha 17.10.2014 - 04:30