Estoy creando una aplicación para Windows, en la que primero debes iniciar sesión. Los detalles de la cuenta consisten en nombre de usuario y contraseña, y deben guardarse localmente. Es solo una cuestión de seguridad, por lo que otras personas que usan la misma computadora no pueden ver los...
Estoy escribiendo un script de shell que debería ser algo seguro, es decir, no pasa datos seguros a través de parámetros de comandos y preferiblemente no usa archivos temporales. ¿Cómo puedo pasar una variable al stdin de un comando? O, si no es posible, ¿cómo utilizar correctamente los archivos...
Estoy intentando utilizar contraseñas de un solo uso que se pueden generar mediante la aplicación Google Authenticator . Qué hace Google Authenticator Básicamente, Google Authenticator implementa dos tipos de contraseñas: HOTP : contraseña de un solo uso basada en HMAC, lo que significa que la...
En el AuthenticationProvider personalizado de mi proyecto de primavera, estoy intentando leer la lista de autoridades del usuario registrado, pero me enfrento al siguiente error: org.hibernate.LazyInitializationException: failed to lazily initialize a collection of role:
Esta pregunta solo trata sobre la protección contra ataques de falsificación de solicitudes entre sitios. Se trata específicamente de: ¿Es la protección a través del encabezado de origen (CORS) tan buena como la protección a través de un token CSRF? Ejemplo: Alice inició sesión (usando una...
En un libro que estoy leyendo, está escrito que printfcon un solo argumento (sin especificadores de conversión) está en desuso. Recomienda sustituir printf("Hello World!"); con puts("Hello World!"); o printf("%s", "Hello World!"); ¿Alguien puede decirme por qué printf("Hello World!");está...
Estoy trabajando en la construcción de una API RESTful para una de las aplicaciones que mantengo. Actualmente estamos buscando incorporar varias cosas que requieran un acceso y seguridad más controlados. Mientras investigaba cómo asegurar la API, encontré algunas opiniones diferentes sobre qué...
He estado investigando un poco sobre el manejo de sesiones PHP y encontré el session.gc_maxlifetimevalor de 1440 segundos. Me he estado preguntando por qué el valor estándar es 1440 y cómo se calcula. ¿Cuál es la base de este cálculo? ¿Cuánto tiempo tiene sentido mantener sesiones? ¿Qué valores...
Implementé un BloomFilter en Python 3.3 y obtuve resultados diferentes en cada sesión. Profundizar en este comportamiento extraño me llevó a la función interna hash (): devuelve diferentes valores hash para la misma cadena en cada sesión. Ejemplo: >>>
¿Alguien podría explicar cuándo anular configure(HttpSecurity), configure(WebSecurity)y
Me doy cuenta de que la especificación de OAuth no especifica nada sobre el origen del código ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret o Verifier, pero tengo curiosidad por saber si existen mejores prácticas para crear tokens significativamente seguros (especialmente...
Cuanto más aprendí sobre el poder de java.lang.reflect.AccessibleObject.setAccessible, más asombrado estoy de lo que puede hacer. Esto está adaptado de mi respuesta a la pregunta ( Uso de la reflexión para cambiar el File.separatorChar final estático para las pruebas unitarias ). import...
En el trabajo tenemos dos teorías en competencia sobre las sales. Los productos en los que trabajo usan algo como un nombre de usuario o un número de teléfono para agregar sal al hash. Esencialmente algo que es diferente para cada usuario pero que está disponible para nosotros. El otro producto...
Estoy creando una aplicación web con Spring Security que vivirá en Amazon EC2 y usaré los Elastic Load Balancers de Amazon. Desafortunadamente, ELB no admite sesiones fijas, por lo que necesito asegurarme de que mi aplicación funcione correctamente sin sesiones. Hasta ahora, he configurado...
Tengo un sitio ASP.NET 4.0 IIS7.5 que necesito asegurar usando el encabezado X-Frame-Options. También necesito permitir que las páginas de mi sitio sean iframed desde mi mismo dominio, así como desde mi aplicación de Facebook. Actualmente tengo mi sitio configurado con un sitio encabezado...
Esta pregunta ya tiene respuestas aquí. : ¿Dónde almacenar JWT en el navegador? ¿Cómo protegerse contra CSRF? (5 respuestas) Cerrado hace 3 meses . Con el fin de asegurar la API REST usando JWT, de acuerdo con algunos materiales (como esta guía y esta...
De vez en cuando me encuentro con comentarios o respuestas que afirman enfáticamente que correr por pipdebajo sudoes "incorrecto" o "malo", pero hay casos (incluida la forma en que tengo un montón de herramientas configuradas) en los que es mucho más simple o incluso necesario ejecutarlo de esa...
Estoy usando Spring MVC @ControllerAdvicey @ExceptionHandlerpara manejar toda la excepción de una API REST. Funciona bien para las excepciones lanzadas por los controladores web mvc, pero no funciona para las excepciones lanzadas por los filtros personalizados de seguridad de primavera porque se...
Veo que estos dos términos se difunden bastante (específicamente en escenarios basados en la web, pero supongo que no se limita a eso) y me preguntaba si había o no una diferencia. Me parece que ambos quieren decir que se le permite hacer lo que está haciendo. Entonces, ¿esto es solo una...
Cualquier variable que un usuario pueda controlar, un atacante también puede controlar y, por tanto, es fuente de un ataque. Esto se denomina variable "contaminada" y no es segura. Cuando se usa $_SERVER, se pueden controlar muchas de las variables. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR,...