Verrouillé . Cette question et ses réponses sont verrouillées car la question est hors sujet mais a une signification historique. Il n'accepte pas actuellement de nouvelles réponses ou interactions. Il semble que nous allons ajouter la prise en charge de CAPTCHA à Stack Overflow. Cela est...
Lors de la création d'applications de style SPA à l'aide de cadres tels que Angular, Ember, React, etc., que pensent les gens des meilleures pratiques d'authentification et de gestion de session? Je peux penser à deux façons d'envisager d'aborder le problème. Ne le traitez pas différemment de...
Si j'obtiens un JWT et que je peux décoder la charge utile, comment est-ce sécurisé? Ne pourrais-je pas simplement récupérer le jeton dans l'en-tête, décoder et modifier les informations utilisateur dans la charge utile, et les renvoyer avec le même secret codé correct? Je sais qu'ils doivent être...
J'ai le code simple suivant pour me connecter à une page Web SSL NSMutableURLRequest *urlRequest=[NSMutableURLRequest requestWithURL:url]; [ NSURLConnection sendSynchronousRequest: urlRequest returningResponse: nil error: &error ]; Sauf qu'il donne une erreur si le certificat est auto-signé...
Le hachage d'un mot de passe deux fois avant le stockage est-il plus ou moins sûr qu'un simple hachage une fois? Je parle de cela: $hashed_password = hash(hash($plaintext_password)); au lieu de cela: $hashed_password = hash($plaintext_password); S'il est moins sécurisé, pouvez-vous fournir une...
J'ai une application Web Spring MVC qui utilise Spring Security. Je veux connaître le nom d'utilisateur de l'utilisateur actuellement connecté. J'utilise l'extrait de code ci-dessous. Est-ce la voie acceptée? Je n'aime pas avoir un appel à une méthode statique à l'intérieur de ce contrôleur - qui...
Sous Windows Server 2008 avec ASP.NET 4.0 installé, il y a toute une série de comptes d'utilisateurs associés, et je ne peux pas comprendre lequel est lequel, comment ils diffèrent, et lequel est vraiment celui sous lequel mon application s'exécute. Voici une liste: IIS_IUSRS IUSR DefaultAppPool...
J'essaie de comprendre tout le problème du CSRF et les moyens appropriés de le prévenir. (Ressources que j'ai lues, comprises et approuvées: Aide-mémoire sur la prévention de la CSRF de l'OWASP , Questions sur la CSRF .) Si je comprends bien, la vulnérabilité autour de CSRF est introduite par...
Lorsque vous comparez un HTTP GET à un HTTP POST, quelles sont les différences du point de vue de la sécurité? L'un des choix est-il intrinsèquement plus sûr que l'autre? Si oui, pourquoi? Je me rends compte que POST n'expose pas d'informations sur l'URL, mais y a-t-il une réelle valeur ou...
Verrouillé . Cette question et ses réponses sont verrouillées car la question est hors sujet mais a une signification historique. Il n'accepte pas actuellement de nouvelles réponses ou interactions. J'essaie de construire une liste de fonctions qui peuvent être utilisées pour l'exécution de code...
J'essaie de prendre en charge le jeton de porteur JWT (jeton Web JSON) dans mon application API Web et je me perds. Je vois la prise en charge de .NET Core et des applications OWIN. J'héberge actuellement mon application dans IIS. Comment puis-je réaliser ce module d'authentification dans mon...
Problème: nous avons une API RESTful basée sur Spring MVC qui contient des informations sensibles. L'API doit être sécurisée, mais l'envoi des informations d'identification de l'utilisateur (combo utilisateur / passe) avec chaque demande n'est pas souhaitable. Conformément aux directives REST (et...
Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses. Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message . Fermé il y a 4 ans . Améliorez cette question J'installe mon...
Dans l'état actuel des choses, cette question ne convient pas à notre format de questions / réponses. Nous nous attendons à ce que les réponses soient étayées par des faits, des références ou une expertise, mais cette question suscitera probablement un débat, des arguments, des sondages ou une...
Mon application Web utilise des sessions pour stocker des informations sur l'utilisateur une fois qu'il s'est connecté et pour conserver ces informations lors de ses déplacements de page en page dans l'application. Dans cette application spécifique, je le stockage user_id, first_nameet last_namede...
Quel est le protocole de sécurité par défaut pour communiquer avec les serveurs qui prennent en charge jusqu'à TLS 1.2? Est-ce que .NETpar défaut, choisir le protocole de sécurité le plus élevé pris en charge sur le côté serveur ou dois - je ajouter explicitement cette ligne de code:...
J'ai toujours utilisé une chaîne de sel par entrée appropriée lors du hachage des mots de passe pour le stockage de la base de données. Pour mes besoins, le stockage du sel dans la base de données à côté du mot de passe haché a toujours bien fonctionné. Cependant, certaines personnes recommandent...
Je reçois un tas d'erreurs dans la console du développeur: Refusé d'évaluer une chaîne Refus d'exécuter le script en ligne car il viole la directive de politique de sécurité du contenu suivante Refus de charger le script Refus de charger la feuille de style Qu'est-ce que tout cela signifie? Comment...
Le contenu demandé via https sera-t-il toujours mis en cache par les navigateurs Web ou considèrent-ils ce comportement non sécurisé? Si tel est le cas, est-il possible de leur dire que c'est ok pour mettre en