Articles of segurança

Proteção CSRF: temos que gerar um token para cada formulário?

Temos que gerar um token para cada formulário em um site? Quero dizer, todo o tempo para gerar token diferente para cada formulário solicitado? Se não, por quê?

Quando os bots atacam!

Quais são alguns methods populares de prevenção de spam além do CAPTCHA?

Criptografando credenciais em um aplicativo WPF

Em um aplicativo WPF, gostaria de fornecer a opção “Lembrar-me” típica para lembrar as credenciais e usá-las automaticamente na próxima vez em que o aplicativo for iniciado. Usar um hash unidirecional claramente não é uma opção e, embora eu possa armazenar credenciais no armazenamento isolado ou no registro , há um problema a ser resolvido […]

O JSONP é seguro de usar?

Há algum problema de segurança que deva ser considerado ao usar o JSONP?

É seguro enviar de um formulário HTTP para HTTPS?

É aceitável enviar de um formulário http por meio de https? Parece que deve ser seguro, mas permite que um homem no meio ataque ( aqui é uma boa discussão ). Existem sites como o mint.com que permitem que você faça login a partir de uma página http, mas faz uma postagem https. No meu […]

Converter .pfx para .cer

É possível converter um arquivo .pfx (Personal Information Exchange) em um arquivo .cer (Certificado de segurança)? A menos que eu esteja enganado, não é um .cer de alguma forma incorporado dentro de um .pfx? Eu gostaria de alguma maneira de extraí-lo, se possível.

Práticas recomendadas de segurança JSON?

Ao pesquisar a questão do JSON vs XML , me deparei com essa questão . Agora, uma das razões para preferir o JSON foi listada como a facilidade de conversão em Javascript, ou seja, com o eval() . Agora, isso imediatamente me pareceu potencialmente problemático do ponto de vista da segurança. Então, comecei a fazer […]

Melhores práticas de SPA para autenticação e gerenciamento de session

Ao criar aplicativos estilo SPA usando estruturas como Angular, Ember, React, etc., o que as pessoas acreditam ser algumas das práticas recomendadas para autenticação e gerenciamento de session? Posso pensar em algumas maneiras de considerar a abordagem do problema. Não trate de maneira diferente da autenticação com um aplicativo da Web regular, assumindo que a […]

Qual é a melhor medida defensiva da Força Bruta Distribuída?

Primeiro, um pouco de fundo: Não é nenhum segredo que estou implementando um sistema auth + auth para o CodeIgniter, e até agora estou ganhando (por assim dizer). Mas eu me deparei com um desafio bastante não-trivial (um que a maioria das bibliotecas de autenticação erra totalmente, mas eu insisto em manipulá-lo apropriadamente): como lidar […]

Redirecionar para uma página com endResponse para true VS CompleteRequest e thread de segurança

Com base nessas perguntas e nas respostas , gostaria de perguntar qual é a maneira correta de redirect. A maneira padrão usando o Redirect (url, endResponse) é lançar o ThreadAbortException porque é chamado com endResponse=true que chama o método End() e, portanto, se você usá-lo dentro de um bloco try / catch, essa exceção mostrada […]