Preguntas con etiqueta 'web-application'

preguntas con etiqueta
4
respuestas

¿Es seguro verificar la contraseña con la API de contraseñas Pwned de HIBP durante el registro de la cuenta?

El usuario registra la cuenta en una aplicación web. Las contraseñas son saladas y hash. Pero, ¿es seguro verificar la contraseña con el API de contraseñas Pwned de HIB, antes de incluirla en salting y hash? Por supuesto, la aplicación utiliza...
hecha 12.03.2018 - 16:24
1
respuesta

¿Qué ataques de cookies son posibles entre computadoras en dominios DNS relacionados (* .ejemplo.com)?

Aquí, varios servidores en el mismo dominio DNS emiten cookies bajo una variedad de configuraciones (alcance, HTTPS, seguro) y otro host emite una cookie con el mismo valor. Ejemplo Supongamos que un usuario tiene la siguiente cookie con...
hecha 05.03.2012 - 02:03
4
respuestas

¿evita golpear la base de datos para autenticar a un usuario en CADA solicitud en una arquitectura de aplicación web sin estado?

Summary Una vez que un usuario inicia sesión en un sitio web y se verifican sus credenciales de nombre de usuario / contraseña y se establece una sesión activa, ¿es posible evitar golpear la base de datos para cada solicitud de ese usuario? ¿C...
hecha 22.01.2014 - 00:30
4
respuestas

¿Está bien revelar los nombres de las tablas de la base de datos?

Estoy desarrollando una aplicación web que usa base de datos. Tengo que hacer algunas operaciones que necesitan nombres de tabla de base de datos y esquema de tabla db. ¿Será seguro si envío este tipo de información al lado del cliente (JavaScri...
hecha 06.05.2013 - 10:11
2
respuestas

¿Cómo puede una aplicación de software defenderse contra DoS o DDoS?

La mayoría de las soluciones para los ataques DoS no están en el nivel de la aplicación. En caso de que esté usando un servidor proxy, ¿cuáles son las posibles contramedidas para DoS a nivel de aplicación?     
hecha 12.11.2010 - 16:41
8
respuestas

Tratar con intentos excesivos de “cardado”

Actualmente estamos configurados utilizando Magento en una pila LAMP para nuestra plataforma de comercio electrónico. Hace uno o dos meses comenzamos a notar muchos intentos de cardado en nuestro sitio web. Todos los intentos de transacciones se...
hecha 29.08.2012 - 15:50
5
respuestas

¿Cambiar la extensión de archivo de un ejecutable cargado a .png lo hace seguro?

Un colega mío tiene un sitio web personal en el que permite a los usuarios cargar cualquier cosa dentro de un tamaño determinado, pero antes de la carga real, comprueba para ver la extensión del archivo: if ( $type == 'image/gif'){ $ext =...
hecha 09.08.2016 - 12:09
4
respuestas

¿Sigue siendo válida la recomendación de OWASP con respecto al almacenamiento local?

Actualmente estoy trabajando en una aplicación que es una aplicación de una sola página creada con Angular. Se sirve a través de HTTPS, utilizando HSTS. Para la autenticación, estamos usando Auth0. La documentación Auth0 recomienda almacena...
hecha 19.12.2017 - 14:51
10
respuestas

¿Cómo puedo verificar de manera segura si existe un nombre de usuario?

Estoy trabajando en la funcionalidad de integración de mi aplicación web y en algún momento le pido a un nuevo usuario que elija un nombre de usuario. Cuando el usuario llega a este punto, tengo su correo electrónico y un número de teléfono q...
hecha 16.05.2016 - 19:30
3
respuestas

¿Es posible usar una clave GPG o SSH para la autenticación basada en web de forma segura?

Supongamos, hipotéticamente, que estoy escribiendo una aplicación web dirigida a usuarios técnicamente inclinados y conscientes de la seguridad que no tienen problemas para generar y usar claves GPG o SSH. ¿Es posible usar dichas claves para...
hecha 17.10.2013 - 15:11