Preguntas etiquetadas con security

Sigo leyendo que es una mala práctica usar la etiqueta de cierre de PHP ?>al final del archivo. El problema del encabezado parece irrelevante en el siguiente contexto (y este es el único buen argumento hasta ahora): Las versiones modernas de PHP establecen el indicador output_buffering en php.ini. Si el …

374 php  security  http-headers 

Necesito el archivo .pfx para instalar https en el sitio web en IIS. Tengo dos archivos separados: certificado (.cer o pem) y clave privada (.crt) pero IIS solo acepta archivos .pfx. Obviamente instalé el certificado y está disponible en el administrador de certificados (mmc) pero cuando selecciono el Asistente de …

363 windows  security  iis  certificate  ssl-certificate 

Las claves de licencia son el estándar de facto como medida antipiratería. Para ser honesto, esto me parece (en) Seguridad a través de la oscuridad , aunque realmente no tengo idea de cómo se generan las claves de licencia. ¿Cuál es un buen ejemplo (seguro) de generación de clave de …

361 security  cryptography  license-key 

Tengo dos servicios HTTP ejecutándose en una máquina. Solo quiero saber si comparten sus cookies o si el navegador distingue entre los dos sockets del servidor.

355 security  http  cookies 

Estoy tratando de obtener el certificado de un servidor remoto, que luego puedo usar para agregar a mi almacén de claves y usar dentro de mi aplicación Java. Un desarrollador senior (que está de vacaciones :() me informó que puedo ejecutar esto: openssl s_client -connect host.host:9999 Para deshacerse de un …

354 linux  security  certificate  openssl  ssl-certificate 

Esta mañana, al actualizar mi navegador Firefox a la última versión (del 22 al 23), algunos de los aspectos clave de mi back office (sitio web) dejaron de funcionar. Mirando el registro de Firebug, se informaron los siguientes errores: Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" Blocked loading mixed active content …

350 http  security  firefox  https  mixed-content 

¿Cuáles son las mejores soluciones para usar una INcláusula SQL con instancias de java.sql.PreparedStatement, que no es compatible con valores múltiples debido a problemas de seguridad de ataque de inyección SQL? Un ?marcador de posición representa un valor, en lugar de una lista de valores. Considere la siguiente instrucción SQL: …

343 java  security  jdbc  prepared-statement  in-clause 

Bloqueado . Esta pregunta y sus respuestas están bloqueadas porque la pregunta está fuera de tema pero tiene un significado histórico. Actualmente no acepta nuevas respuestas o interacciones. Parece que agregaremos compatibilidad con CAPTCHA a Stack Overflow. Esto es necesario para evitar bots, spammers y otras actividades maliciosas con script. …

318 security  language-agnostic  captcha 

Al crear aplicaciones de estilo SPA utilizando marcos como Angular, Ember, React, etc., ¿qué creen las personas que son algunas de las mejores prácticas para la autenticación y la gestión de sesiones? Puedo pensar en un par de formas de considerar abordar el problema. Trátelo de manera diferente a la …

309 security  angularjs  authentication  ember.js  single-page-application 

Si obtengo un JWT y puedo decodificar la carga útil, ¿cómo es eso seguro? ¿No podría simplemente tomar el token del encabezado, decodificar y cambiar la información del usuario en la carga útil y enviarlo de vuelta con el mismo secreto codificado correcto? Sé que deben ser seguros, pero realmente …

302 security  jwt  express-jwt 

Estoy tratando de redirigir todas las solicitudes HTTP inseguras en mi sitio (por ejemplo http://www.example.com) a HTTPS ( https://www.example.com). Estoy usando PHP por cierto. ¿Puedo hacer esto en .htaccess?

294 security  http  .htaccess  redirect  https 

¿El hashing de una contraseña dos veces antes del almacenamiento es más o menos seguro que simplemente hacerlo una vez? De lo que estoy hablando es de hacer esto: $hashed_password = hash(hash($plaintext_password)); en lugar de solo esto: $hashed_password = hash($plaintext_password); Si es menos seguro, ¿puede proporcionar una buena explicación (o …

293 security  hash  passwords  cryptography  password-hash 

Estoy tratando de entender todo el problema con CSRF y las formas adecuadas de prevenirlo. (Recursos que he leído, entiendo y estoy de acuerdo con: OWASP CSRF Prevention CHeat Sheet , Preguntas sobre CSRF ). Según tengo entendido, la vulnerabilidad en torno a CSRF se introduce por el supuesto de …

283 security  cookies  web  csrf  owasp 

Al comparar un HTTP GET con un HTTP POST, ¿cuáles son las diferencias desde una perspectiva de seguridad? ¿Es una de las opciones inherentemente más segura que la otra? Si es así, ¿por qué? Me doy cuenta de que POST no expone información en la URL, pero ¿hay algún valor …

282 html  security  http 

Bajo Windows Server 2008 con ASP.NET 4.0 instalado, hay una gran cantidad de cuentas de usuario relacionadas, y no puedo entender cuál es cuál, en qué difieren, y cuál es REALMENTE con la que se ejecuta mi aplicación. Aquí hay una lista: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0 SERVICIO DE RED …

282 asp.net  security  iis  user-accounts