Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Es suficiente con cifrados SSL el RC4-MD5 / RC4-SHA para la mayoría de los propósitos?

En el ELB de AWS, cargué un certificado y solo seleccioné " RC4-MD5 " + " RC4-SHA " como cifrados y obtuve una calificación de A en el < strong> ssltest [1] Si uso la configuración ELB predeterminada, solo puedo obtener un C Ya que no est...
hecha 22.07.2013 - 17:11
3
respuestas

¿Se puede "recordar" en forma segura en un sitio web sin cuentas?

Tengo un sitio web que permite a los usuarios enviar un formulario sin tener que crear una cuenta e iniciar sesión. Sin embargo, para mantener a los usuarios responsables de sus envíos, el formulario requiere que proporcionen su dirección de cor...
hecha 16.12.2013 - 16:04
1
respuesta

¿El uso de la creación de un perfil de Firefox por separado causa una protección de contexto de seguridad por separado contra XSS y DNS Re-binding?

Leí aquí que debería usar perfiles de seguridad separados para diferentes tipos de cosas; acceder a información confidencial, realizar la administración del sistema en lugar de abrir enlaces de correos electrónicos. Sé que se pueden ejecuta...
hecha 01.12.2015 - 14:08
2
respuestas

¿Por qué almacenamos la identificación de la sesión en lugar de la identificación del usuario dentro de las cookies?

¿No sería mejor almacenar el ID de usuario en lugar del ID de sesión para que solo busquemos la base de datos una vez para extraer otra información del usuario en lugar de extraer dos veces el ID de usuario de la sesión db y luego el db?     
hecha 22.08.2018 - 16:55
3
respuestas

¿Cuál es la solución rápida para el ataque CSRF?

La aplicación está construida en lenguaje Java y framework JSF. He informado de un ataque CSRF y el equipo de desarrollo tiene que solucionarlo pronto ya que la aplicación está en producción. Recomendé usar tokens CSRF pero el equipo de desar...
hecha 10.05.2018 - 11:34
2
respuestas

¿Puedo evitar que todos los empleados accedan a los datos del cliente sin ser registrados (especialmente TI)?

Estoy hospedando una aplicación web y una base de datos de servidor SQL en Azure y me gustaría asegurarme de que ninguna persona en la compañía pueda acceder a los datos de los clientes sin que se haya registrado el acceso. Parece que con todas...
hecha 27.01.2016 - 14:51
3
respuestas

¿CÓMO se entrega la URL / carga maliciosa al usuario en un ataque XSS basado en DOM?

Pruebas para DOM basadas en XSS en OWASP lee:    El primer ejemplo hipotético utiliza el siguiente código del lado del cliente: <script> document.write("Site is at: " + document.location.href + "."); </script>       Un atacan...
hecha 27.10.2015 - 07:07
2
respuestas

Almacenamiento de contraseñas de servicios de terceros (aplicación web)

Tengo una aplicación web que incluye sitios web de terceros en iframes. Los sitios web de terceros requieren que el usuario inicie sesión en ellos. La opción A es requerir que el usuario inicie sesión en cada sitio web de forma individual a trav...
hecha 03.03.2017 - 17:26
1
respuesta

¿Debo evitar la implementación de archivos package.json o bower.json en producción?

Sé que se recomienda ocultar la información de versión del SO y del servidor cuando se sirven páginas web. ¿Qué pasa con la información de la versión de la biblioteca js contenida en los archivos package.json o bower.json? Parece que esto podría...
hecha 09.03.2017 - 18:08
2
respuestas

¿Es segura la siguiente solución de autenticación o me falta algo?

Context: Tengo dos servidores web ServerA (pila LAMP) y ServerB (pila ASP.NET). Creo que la tecnología (con suerte) no importa. Ambos servidores requieren autenticación y, supuestamente, hacen bien su trabajo, si no está fuera de alcance en es...
hecha 22.03.2016 - 13:16