Публикации по тегам web-security

Публикации по теме 'web-security'

Давайте разберемся с Chrome V8: как работает байт-код

Глава 26: Основы обработчика байт-кода Добро пожаловать в другие главы Давайте разберемся с Chrome V8 1. Введение За что отвечает обработчик байт-кода? В V8 сам интерпретатор состоит из набора фрагментов кода обработчика, каждый из которых обрабатывает определенный байт-код. Итак, обработчик — это инструкция, реализующая байт-код. В C++ вы знаете, что V8 написан с использованием C++, обработчик — это функция, реализующая байт-код, а интерпретатор, выполняющий байт-код,..

Увлекательная связь между CAPTCHA, велосипедами и светофорами

CAPTCHA (полностью автоматизированный публичный тест Тьюринга для определения компьютеров и людей отдельно) — это функция безопасности, которая существует уже довольно давно. Он обычно используется для различения пользователей-людей и автоматических ботов, которые могут нанести вред веб-сайтам или системам. Однако задумывались ли вы когда-нибудь, почему в CAPTCHA так часто используются велосипеды и светофоры? Почему не другие образы? 💡Я пишу о машинном обучении на Средних ||..

Где хранить веб-токены JSON (JWT)?

Я занимаюсь проектированием и разработкой веб-приложений более 7 лет. За эти годы я увидел множество механизмов аутентификации, некоторые из них являются RESTful, а другие нет. Службы RESTful в основном использовали JSON Web Token (JWT) в качестве токена аутентификации. Всякий раз, когда я внедрял аутентификацию на основе JWT, я задавал себе этот вопрос: « Где мы храним JWT?» Изменить: Эта статья посвящена только реализации в браузере. Давайте ответим на большой вопрос. У..

Насколько безопасен ваш веб-браузер?

Педро Фортуна отмечает, что если компании будут продолжать уделять внимание исключительно защите серверов, они оставят входную дверь открытой для атак. «JavaScript вездесущ. Куда бы вы ни посмотрели, что-то было создано, по крайней мере частично, с использованием JavaScript. JavaScript настолько прост в изучении и использовании, что существует множество легко подключаемых библиотек с открытым исходным кодом, таких как jQuery, React.js и фреймворки, такие как Backbone.js, Angular.js..

Шаблон токена синхронизатора (STP)

Что такое токен синхронизатора? Шаблон токена синхронизатора — это метод, при котором токен, который является одновременно секретным и уникальным значением для каждого запроса, встраивается веб-приложением во все HTML-формы и проверяется на стороне сервера. Затем токен генерируется сервером с обеспечением уникальности. Здесь сервер генерирует токен для каждого сеанса. В этом случае злоумышленник не может разместить правильный токен в своих запросах для их аутентификации. Почему мы..

Что вы можете сделать с XSS-уязвимостью

XSS — самая популярная уязвимость в Интернете. Внедрение новых технологий, например. HTML5, CORS, Jinja2… также представляют новые векторы атак. Однако многие люди недооценивают возможности XSS. XSS легко обнаружить, но не так легко смягчить. Итак, на что на самом деле способен XSS: Украсть пользовательский файл cookie Получить данные форм, включая токен CSRF Получить содержимое DOM Получить локальное/сеансовое хранилище Зафиксировать нажатую клавишу пользователя Захват..

CSP, правильное решение для пандемии веб-скимминга?

В последнее время меня много спрашивают о политике безопасности контента (CSP) как о возможном решении для Magecart и других атак с использованием веб-скимминга. Компании, в основном сайты электронной коммерции, активно ищут способ справиться с этой новой угрозой. CSP, которое не является дорогостоящим решением, стало неотъемлемой частью многих наборов инструментов безопасности. Но действительно ли это решение, которое вам действительно нужно для борьбы с Magecart? Конкурс..