Articles of sécurité

Comment un jeton d’access utilisateur Facebook doit-il être utilisé côté serveur?

Préface Je développe plusieurs services Web et une poignée de clients (application Web, mobile, etc.) qui feront l’interface avec lesdits services via HTTP (s). Mon élément de travail actuel consiste à concevoir une solution d’authentification et d’autorisation pour le produit. J’ai décidé de tirer parti des fournisseurs d’identité externes, tels que Facebook, Google, Microsoft, Twitter […]

Comment obtenir un système d’authentification sûr (!) Dans une application angularjs?

Je suis nouveau avec angularjs … J’ai lu les documents et terminé le tutoriel; J’ai aussi essayé autre chose par moi-même et les choses commencent à avoir du sens pour moi. Maintenant, je me demande comment créer un système d’authentification sécurisé . La partie facile: pas de code, je vais décrire les opérations que mon […]

Restreindre l’access à un contrôleur spécifique par adresse IP dans ASP.NET MVC Beta

J’ai un projet ASP.NET MVC contenant une classe AdminController et me donnant des URL comme celles-ci: http://example.com/admin/AddCustomer http://examle.com/Admin/ListCustomers Je veux configurer le serveur / app afin que les URI contenant / Admin ne soient accessibles que depuis le réseau 192.168.0.0/24 (notre réseau local) J’aimerais restreindre l’access de ce contrôleur à certaines adresses IP uniquement. Sous […]

Quelles sont les raisons pour ne pas utiliser OpenID?

Vous voyez un peu (dans la communauté Geek de toute façon) sur OpenID. Cela semble être une bonne idée. Je développe un site Web destiné à un public un peu moins geek (mais pas tout à fait maman et Pops non plus), alors je me demande si OpenID sera “trop ​​dur” pour certains publics. Qu’est-ce […]

Comment les noms de serveurs de certificates SSL sont-ils résolus / Puis-je append des noms alternatifs avec keytool?

Celles-ci peuvent être formulées sous forme de questions distinctes pour plus de clarté, mais elles sont toutes liées au même problème. Comment les noms de serveurs de certificates SSL sont-ils résolus? Pourquoi les navigateurs semblent-ils utiliser le champ CN du certificate, mais le mécanisme de Java semble ne regarder que les “noms de substitution des […]

Comment surveillez-vous le trafic réseau sur l’iPhone?

Nous recherchons un outil de type Wireshark à utiliser sur l’iPhone pour tester une application tierce avant de nous associer à la 3ème partie. Aucune suggestion?

Android In App Billing: sécuriser la clé publique de l’application

A partir d’Android Dans App Billing version 3 (TrivialDrive) exemple d’application fourni avec sdk MainActivity.java /* base64EncodedPublicKey should be YOUR APPLICATION’S PUBLIC KEY * (that you got from the Google Play developer console). This is not your * developer public key, it’s the *app-specific* public key. * * Instead of just storing the entire literal […]

Prévention XSS dans l’application Web JSP / Servlet

Comment puis-je empêcher les attaques XSS dans une application Web JSP / Servlet?

HTML Encoding va-t-il empêcher toutes sortes d’attaques XSS?

Je ne suis pas préoccupé par d’autres types d’attaques. Je veux juste savoir si HTML Encode peut empêcher toutes sortes d’attaques XSS. Est-il possible de faire une attaque XSS même si HTML Encode est utilisé?

Comment une vulnérabilité Format-Ssortingng peut-elle être exploitée?

Je lisais sur les vulnérabilités du code et je suis tombé sur cette vulnérabilité de formatage . Wikipedia dit: Les bogues de chaîne de format apparaissent le plus souvent lorsqu’un programmeur souhaite imprimer une chaîne contenant des données fournies par l’utilisateur. Le programmeur peut écrire à tort printf (buffer) au lieu de printf (“% s”, […]