Articles of sécurité

Stockage des détails de la carte de crédit

J’ai une exigence commerciale qui me force à stocker les informations de carte de crédit complètes d’un client (numéro, nom, date d’expiration, CVV2) pendant une courte période. Justification: Si un client appelle pour commander un produit et que sa carte de crédit est refusée sur place, vous risquez de perdre la vente. Si vous prenez […]

Comment faire pour créer une page d’erreur 403 personnalisée avec l’atsortingbut Authorize au lieu de la redirect vers la page d’ouverture de session

[Authorize] atsortingbut [Authorize] est agréable et pratique, et j’espère qu’il pourra résoudre les problèmes que j’ai maintenant. Pour être plus précis: Lorsque le client actuel n’est pas authentifié – [Authorize] redirige de l’action sécurisée vers la page de connexion et après la connexion réussie – ramène l’utilisateur, c’est bien. Mais lorsque le client actuel est […]

Comment arrêter une attaque de hack / DOS sur une API Web

Mon site a connu une attaque par déni de service / piratage la semaine dernière. L’attaque frappe notre API Web avec des clés API invalides générées de manière aléatoire dans une boucle. Je ne suis pas sûr qu’ils essaient de deviner une clé (mathématiquement impossible comme des clés 64 bits) ou d’essayer d’attaquer le serveur […]

HTML5 localStorage security

Serait-ce une bonne ou une mauvaise idée d’utiliser localStorage pour les données sensibles (en supposant les implémentations HTML5 actuelles)? Quelles méthodes puis-je utiliser pour sécuriser les données afin qu’elles ne puissent pas être lues par une personne ayant access à l’ordinateur client?

CSRF est-il possible avec les méthodes PUT ou DELETE?

CSRF est-il possible avec les méthodes PUT ou DELETE? Ou l’utilisation de PUT ou DELETE empêche-t-elle CSRF?

«Se souvenir de moi sur cet ordinateur» – Comment ça marche?

En regardant les cookies de Gmail, il est facile de voir ce qui est stocké dans le cookie “Se souvenir de moi”. Le nom d’utilisateur / jeton d’access unique. Il pourrait être implémenté différemment dans les cas où le nom d’utilisateur est également secret. Mais peu importe … la chose n’est pas très haute sécurité: […]

Glassfish DeploymentException: erreur lors de la liaison de la politique de sécurité pour

J’ai essayé de déployer mon application Web (war) à partir de Glassfish AdminConsole, mais le message d’erreur suivant s’affiche: Exception while loading the app : Error in linking security policy for MyApp-war — Inconsistent Module State. Mais il se déploie sans aucun problème lorsque je le fais depuis Netbeans. (Je ne sais pas si Netbeans […]

Comment empêcher Screen Capture dans Android

Est-il possible d’empêcher l’enregistrement d’écran dans l’application Android? Je souhaite développer une application Android sécurisée. En cela, je dois détecter les logiciels d’enregistrement d’écran qui fonctionnent en arrière-plan et les tuer. J’ai utilisé SECURE FLAG pour empêcher les captures d’écran. Mais je ne sais pas, il est possible d’empêcher la capture vidéo de l’écran Android […]

Comment bien gérer les clés privées?

Quelqu’un a-t-il une expérience pratique ou une référence pour un schéma qui implémente un schéma de gestion des clés conforme à la norme de sécurité PCI DSS ? Compte tenu du nombre de sociétés conformes à la norme PCI DSS, il est évident qu’il ya plusieurs implémentations, mais il est difficile d’essayer de trouver des […]

Authentification des requêtes depuis une application mobile (iPhone) vers l’API Web ASP.Net (commentaires demandés sur ma conception)

Je conçois un site Web qui aura un compagnon mobile (initialement iPhone uniquement). Le site Web sera une application ASP.Net MVC 3. Je disposerai également d’un site Web API ASP.Net (MVC 4) pour exposer les services à l’application iPhone. L’application iPhone aura son propre formulaire pour capturer le nom d’utilisateur et le mot de passe […]