security

Al comparar un HTTP GET con un HTTP POST, ¿cuáles son las diferencias desde una perspectiva de seguridad? ¿Es una de las opci ... enciales en el POST o GET por completo y usar código del lado del servidor para manejar información confidencial en su lugar?

La sección 4.2 del borrador del protocolo OAuth 2.0 indica que un servidor de autorización puede devolver tanto un access_tok ... 2 ¿Por qué tener ambos? ¿Por qué no hacer que el access_token dure tanto como el refresh_token y no tener un refresh_token?

Siéntase libre de corregirme si mis suposiciones están equivocadas aquí, pero déjeme explicar por qué estoy preguntando. Tom ... iéntase libre de responder a cualquiera o todas mis preguntas (o decirme que mis suposiciones son completamente erróneas). :)

Estoy tratando de soportar JWT bearer token (Json Web Token) en mi aplicación web api y me estoy perdiendo. Veo soporte para ... que pueda usar la configuración <authentication> similar a la forma en que uso la autenticación\windows del formulario?

¿Qué es mejor hacer la validación del lado del cliente o del lado del servidor? , En nuestra situación, estamos usando ... nte? Awesome responde a todos. El sitio web que tenemos está protegido por contraseña y para una pequeña base de usuarios (

¿Cómo nos ayudan las declaraciones preparadas a prevenir los ataques de inyección SQL ? Wikipedia dice: Las sentenci ... se puede ocurrir. No puedo ver la razón muy bien. Lo que sería un simple explicación en inglés fácil y algunos ejemplos?

Sé que es posible obtener un HTTP_REFERER vacío. ¿Bajo qué circunstancias sucede esto? Si obtengo uno vacío, ¿siempre signifi ... a que el usuario lo cambió? ¿Obtener una vacía es lo mismo que obtener una nula? ¿y en qué circunstancias lo consigo también?

En el contexto de los marcos de seguridad, algunos términos comúnmente ocurren sujeto, usuario y principal, de los cuales ... . Entonces, ¿qué significan exactamente estos términos, y por qué son necesarias estas distinciones de sujetoy principal?

Si desea un número aleatorio criptográficamente fuerte en Java, utilice SecureRandom. Desafortunadamente, SecureRandom puede ... munes como una solución a este problema? ¿Puede alguien confirmar que este problema de rendimiento se ha resuelto en JDK 6?

Puedo entender que imponer una longitud mínima a las contraseñas tiene mucho sentido (para salvar a los usuarios de sí mismos ... están imponiendo una longitud máxima de contraseña, ¿debo pensar en hacer algo similar? ¿Cuáles son los pros/contras de esto?

¿Cuáles son algunas pautas para mantener una seguridad de sesión responsable con PHP? Hay información en toda la web y es hora de que todo aterrice en un solo lugar!

¿Cuál es el protocolo de seguridad predeterminado para comunicarse con servidores que admiten hasta TLS 1.2? Will .NET de fo ... egadores (subclave del cliente). Lo sentimos este post se convirtió en múltiples preguntas, seguido de " tal vez" respuesta.

¿El contenido solicitado a través de https seguirá siendo almacenado en caché por los navegadores web o consideran este comportamiento inseguro? Si este es el caso, ¿hay de todos modos para decirles que está bien almacenar en caché?

¿Los parámetros de querystring se cifran en HTTPS cuando se envían con una solicitud?

Estoy tratando de construir una lista de funciones que se pueden utilizar para la ejecución de código arbitrario. El propósit ... nerar archivos, publíquela y Lo incluiré aquí. (Y no estoy contando mysql_execute, ya que es parte de otra clase de exploit.)

Estoy trabajando en un proyecto que tiene que tener autenticación (nombre de usuario y contraseña) También se conecta a una ... S Estoy abierto a la idea de que esta información no se almacene en la base de datos si se puede proporcionar una buena razón

Soy un estudiante de TI y ahora estoy en el 3er año en la universidad. Hasta ahora hemos estado estudiando muchas materias re ... ento mínimo? ¿Puede sugerir algunos libros electrónicos o cursos o cualquier cosa puede ayuda para empezar con este camino?

Sigo leyendo que es una mala práctica usar la etiqueta PHP close ?> al final del archivo. El problema del encabezado parec ... ienza con esta "regla", pero nadie ofrece buenas razones. ¿Hay otra buena razón para omitir la etiqueta php de finalización?

Estoy tratando de obtener el certificado de un servidor remoto, que luego puedo usar para agregar a mi almacén de claves y us ... dera de CApath, pero no parece ayudar. Probé múltiples caminos en vano. Por favor, hágame saber en qué me estoy equivocando.

Acabo de leer en la red sobre una vulnerabilidad de seguridad recientemente descubierta en ASP.NET. Puedes leer los detalles ... re la seguridad web en general. Marcé la respuesta de @Mikael como aceptada, pero el otras respuestas también son muy útiles.