Forced browsing e penetration testing: come si cercano (e chiudono) le falle
Gli automatismi che cercano pagine dimenticate sono solo l'inizio. Il penetration testing attivo mette davvero alla prova le difese: ecco la differenza.
SICUREZZA
Tutti gli articoli della categoria Sicurezza.
Cookie e Privacy Policy: a norma GDPR senza banner inutili
Non tutti i cookie richiedono consenso e non tutti i banner sono a norma. Ecco cosa serve davvero per essere conformi al GDPR, in modo pulito.
Proteggere il codice sorgente: middleware che blocca i sorgenti
Nel browser arriva solo il bundle finale, non i sorgenti. Un middleware che blocca la cartella del codice impedisce di scaricare la versione leggibile.
Timing attack: perché confronto i token in tempo costante
Un confronto ingenuo tra token può "perdere tempo" in modo misurabile e svelare il segreto un carattere alla volta. Ecco come si evita.
Rate limiting: proteggere il sito da abusi ed esaurimento risorse
Un sito senza limiti è esposto a brute force e sovraccarichi. Il rate limiting mette un tetto alle richieste e protegge risorse e account.
Path traversal: come blocco l'accesso a file non autorizzati
Con richieste costruite ad arte un attaccante prova a uscire dalle cartelle pubbliche e leggere file riservati. Ecco come si chiude questa porta.
Password mai in chiaro: nessun fallback, nessuna scorciatoia
Se un sito riesce a rispedirti la tua password, significa che la conserva in chiaro: un grave rischio. Ecco perché non esistono scorciatoie accettabili.
Hash delle password con bcrypt: il sito non conosce la tua password
Conservare le password in chiaro è una bomba a orologeria. Con l'hashing (bcrypt) il sito verifica chi sei senza mai conoscere la tua password.