Preguntas con etiqueta 'web-application'

5
respuestas

¿Cuál es la forma correcta de implementar tokens de formulario anti-CSRF?

Soy plenamente consciente de CSRF y ya he implementado algunos formularios seguros, pero nunca me ha gustado. Los resultados todavía. He creado tokens como md5 de nombre de usuario, información de formulario y salt y lo almacené en una se...
hecha 12.11.2010 - 08:58
1
respuesta

¿Por qué usar un token de autenticación en lugar del nombre de usuario / contraseña por solicitud?

El autor de enlace recomienda:    ¡NO GUARDE LA COOKIE PERSONALIZADA EN LA BASE DE DATOS (TOKEN) EN SU BASE DE DATOS, SÓLO UN GOLPE! [...] use hashing salado fuerte (bcrypt / phpass) cuando almacene tokens de inicio de sesión persistentes....
hecha 18.07.2014 - 20:08
5
respuestas

Cómo mejorar como experto en seguridad

Soy un desarrollador de software profesional con un gran interés en la seguridad de las aplicaciones web. Diría que probablemente tengo un mejor entendimiento de la seguridad de las aplicaciones web que el desarrollador promedio. Mi problema es...
hecha 29.09.2011 - 20:11
3
respuestas

¿Existe una razón de seguridad para que un sitio limite la cantidad de veces que un usuario puede cambiar su contraseña?

¿Hay alguna razón de seguridad para no permitir que un usuario cambie su contraseña con la frecuencia que desee? He encontrado esta política de seguridad en un sitio y no estoy seguro de por qué la está aplicando. Una razón que puedo imaginar...
hecha 10.07.2013 - 08:17
2
respuestas

Los datos importantes se pueden modificar desde la consola del desarrollador. ¿Qué tengo que hacer?

Escenario: Tengo una lista de tareas pendientes que se genera con JavaScript utilizando JSON que se codificó en el lado del servidor. Puse el id del elemento todo en el atributo id de HTML. Entonces el proceso es así: El código del lado de...
hecha 14.12.2017 - 13:21
4
respuestas

¿Debo bloquear el Bot Yandex?

Tengo una aplicación web a la que la araña Yandex está intentando acceder al back-end varias veces. Después de estas búsquedas de arañas, hay pocas direcciones IP rusas que intentan acceder al back-end y no pudieron acceder. ¿Debo bloquear Ya...
hecha 09.05.2016 - 08:08
5
respuestas

¿Es suficiente el filtrado de los datos de entrada del usuario o debería analizarse?

En una aplicación web, podría haber dos enfoques para mitigar los ataques XSS: todos los datos de entrada podrían filtrarse (eliminando todos los datos 'malos'), o la entrada se puede analizar, tokenizar y generar solo con las etiquetas pe...
hecha 11.11.2010 - 22:45
3
respuestas

¿Qué cosas útiles puedo hacer con el elemento html5 "keygen"?

Hay un elemento new * keygen en la especificación html5 . Es compatible con los principales navegadores, excepto Internet Explorer y Safari. Esto es lo que parece: <form action="processkey.cgi" method="post" enctype="multipart/fo...
hecha 15.08.2011 - 11:56
7
respuestas

¿Hay alguna diferencia entre GET y POST para la seguridad de la aplicación web?

Tengo 2 opciones para enviar datos entre 2 aplicaciones web. Codifico los datos en Base64 y los agrego a la URL, recupero estos parámetros en mi aplicación de destino y decodifico los parámetros. Por ejemplo, http:/myDomain/someCode/p...
hecha 12.02.2013 - 11:38
8
respuestas

¿Está bien que el secreto de la API se almacene en texto sin formato o que se pueda descifrar?

¿No se considera API keys como nombres de usuario y API secrets se consideran contraseñas? ¿Por qué los servidores de API como Amazon Web Services le permiten ver su secreto de API en texto sin formato? Me hace pensar que lo almace...
hecha 12.08.2012 - 21:11