Bloqueado . Esta pregunta y sus respuestas están bloqueadas porque la pregunta está fuera de tema pero tiene un significado histórico. Actualmente no acepta nuevas respuestas o interacciones. Parece que agregaremos compatibilidad con CAPTCHA a Stack Overflow. Esto...
Al crear aplicaciones de estilo SPA utilizando marcos como Angular, Ember, React, etc., ¿qué creen las personas que son algunas de las mejores prácticas para la autenticación y la gestión de sesiones? Puedo pensar en un par de formas de considerar abordar el problema. Trátelo de manera diferente a...
Si obtengo un JWT y puedo decodificar la carga útil, ¿cómo es eso seguro? ¿No podría simplemente tomar el token del encabezado, decodificar y cambiar la información del usuario en la carga útil y enviarlo de vuelta con el mismo secreto codificado correcto? Sé que deben ser seguros, pero realmente...
Tengo el siguiente código simple para conectarme a una página web SSL NSMutableURLRequest *urlRequest=[NSMutableURLRequest requestWithURL:url]; [ NSURLConnection sendSynchronousRequest: urlRequest returningResponse: nil error: &error ]; Excepto que da un error si el certificado es uno...
¿El hashing de una contraseña dos veces antes del almacenamiento es más o menos seguro que simplemente hacerlo una vez? De lo que estoy hablando es de hacer esto: $hashed_password = hash(hash($plaintext_password)); en lugar de solo esto: $hashed_password = hash($plaintext_password); Si es...
Tengo una aplicación web Spring MVC que usa Spring Security. Quiero saber el nombre de usuario del usuario actualmente conectado. Estoy usando el fragmento de código que figura a continuación. ¿Es esta la forma aceptada? No me gusta tener una llamada a un método estático dentro de este...
Estoy tratando de entender todo el problema con CSRF y las formas adecuadas de prevenirlo. (Recursos que he leído, entiendo y estoy de acuerdo con: OWASP CSRF Prevention CHeat Sheet , Preguntas sobre CSRF ). Según tengo entendido, la vulnerabilidad en torno a CSRF se introduce por el supuesto de...
Bajo Windows Server 2008 con ASP.NET 4.0 instalado, hay una gran cantidad de cuentas de usuario relacionadas, y no puedo entender cuál es cuál, en qué difieren, y cuál es REALMENTE con la que se ejecuta mi aplicación. Aquí hay una lista: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0 SERVICIO DE...
Al comparar un HTTP GET con un HTTP POST, ¿cuáles son las diferencias desde una perspectiva de seguridad? ¿Es una de las opciones inherentemente más segura que la otra? Si es así, ¿por qué? Me doy cuenta de que POST no expone información en la URL, pero ¿hay algún valor real en eso o es solo...
Bloqueado . Esta pregunta y sus respuestas están bloqueadas porque la pregunta está fuera de tema pero tiene un significado histórico. Actualmente no está aceptando nuevas respuestas o interacciones. Estoy tratando de crear una lista de funciones que se puedan usar...
Estoy tratando de admitir el token portador JWT (JSON Web Token) en mi aplicación API web y me estoy perdiendo. Veo soporte para .NET Core y para aplicaciones OWIN. Actualmente estoy alojando mi aplicación en IIS. ¿Cómo puedo lograr este módulo de autenticación en mi aplicación? ¿Hay alguna...
Problema: Tenemos una API RESTful basada en Spring MVC que contiene información confidencial. La API debe estar protegida, sin embargo, no es deseable enviar las credenciales del usuario (combinación de usuario / paso) con cada solicitud. Según las pautas REST (y los requisitos comerciales...
Cerrada . Esta pregunta está basada en la opinión . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que pueda ser respondida con hechos y citas editando esta publicación . Cerrado hace 4 años .
Tal como está actualmente, esta pregunta no es adecuada para nuestro formato de preguntas y respuestas. Esperamos que las respuestas sean respaldadas por hechos, referencias o experiencia, pero esta pregunta probablemente solicitará debate, argumentos, encuestas o discusión
Mi aplicación web utiliza sesiones para almacenar información sobre el usuario una vez que ha iniciado sesión y para mantener esa información a medida que viaja de una página a otra dentro de la aplicación. En esta aplicación específica, estoy almacenando el user_id, first_namey last_namede la...
¿Cuál es el protocolo de seguridad predeterminado para comunicarse con servidores que admiten hasta TLS 1.2? Será .NETpor defecto, seleccione el protocolo de seguridad más alta soportada en el lado del servidor o tengo que añadir explícitamente esta línea de
Siempre he usado una cadena de sal por entrada adecuada al cifrar las contraseñas para el almacenamiento de la base de datos. Para mis necesidades, almacenar la sal en la base de datos junto a la contraseña hash siempre ha funcionado bien. Sin embargo, algunas personas recomiendan que la sal se...
Recibo muchos errores en la consola del desarrollador: Se negó a evaluar una cadena Se negó a ejecutar un script en línea porque viola la siguiente directiva de Política de Seguridad de Contenido Se negó a cargar el script Se negó a cargar la hoja de estilo ¿De qué se trata todo esto? ¿Cómo...
¿Los navegadores web almacenarán en caché el contenido solicitado a través de https o considerarán este comportamiento inseguro? Si este es el caso, ¿hay alguna forma de decirles que está bien almacenar en