Articles of seguridad de

SESSION_COOKIE_SECURE no cifra la sesión

Estoy tratando de poner algo de seguridad en mi aplicación web Flask. Como primer paso, haré que mi cookie de sesión sea segura configurando SESSION_COOKIE_SECURE en verdadero. Pero después de obtener mi cookie de sesión de “inspeccionar elemento” puedo decodificar la cookie de sesión fácilmente y no hay diferencia si agrego SESSION_COOKIE_SECURE o no. Aquí […]

i * must * almacena credenciales de terceros en mi base de datos. ¿mejor manera?

Mi aplicación debe leer un URL de SSL de un tercero. ¿Cómo puedo almacenar mejor las credenciales de terceros en mi propia base de datos, que protege las credenciales de terceros para que no se vean comprometidas? Considere la seguridad absoluta y la practicidad. El hashing unidireccional de las credenciales no es útil ya que […]

Almacenamiento seguro de credenciales en python

El ataque Un posible modelo de amenaza, en el contexto del almacenamiento de credenciales, es un atacante que tiene la capacidad de: inspeccionar cualquier memoria de proceso (usuario) leer archivos locales (usuario) AFAIK, el consenso sobre este tipo de ataque es que es imposible evitarlo (ya que las credenciales deben almacenarse en la memoria para […]

¿Sobrescribir con seguridad las variables de Python en la RAM?

Estoy haciendo un progtwig en Python que involucrará el hashing de una contraseña. Suponiendo que uso esto para obtener la contraseña: import getpass password = getpass.getpass(“Password: “) Y luego, hash, ¿hay alguna forma de eliminar de forma segura todos los rastros de la contraseña no lavada de la RAM?

Almacenar de forma segura las contraseñas para su uso en el script de Python

Posible duplicado: Necesito almacenar de forma segura un nombre de usuario y una contraseña en Python, ¿cuáles son mis opciones? Estoy buscando una forma de almacenar de forma segura las contraseñas que pretendo usar en algunos scripts de Python. Iniciaré sesión en diferentes cosas y no quiero almacenar las contraseñas como texto sin formato en […]

Implementación de Google Authenticator en Python

Estoy tratando de usar contraseñas de un solo uso que pueden generarse usando la aplicación Google Authenticator . Lo que hace Google Authenticator Básicamente, Google Authenticator implementa dos tipos de contraseñas: HOTP : contraseña de un solo uso basada en HMAC, lo que significa que la contraseña se cambia con cada llamada, de conformidad con […]

Borrado seguro de la contraseña en la memoria (Python)

¿Cómo almacena una contraseña introducida por el usuario en la memoria y la borra de forma segura cuando ya no la necesita? Para elaborar, actualmente contamos con el siguiente código: username = raw_input(‘User name: ‘) password = getpass.getpass() mail = imaplib.IMAP4(MAIL_HOST) mail.login(username, password) Después de llamar al método de login , ¿qué debemos hacer para […]

La función hash en Python 3.3 devuelve resultados diferentes entre sesiones

He implementado un BloomFilter en python 3.3 y obtuve diferentes resultados en cada sesión. La profundización de este extraño comportamiento me llevó a la función hash () interna: devuelve diferentes valores de hash para la misma cadena en cada sesión. Ejemplo: >>> hash(“235”) -310569535015251310 —– abriendo una nueva consola de python —– >>> hash(“235”) -1900164331622581997 […]

Ocultar una contraseña en un script de python (solo ofuscación insegura)

Tengo un script en python que está creando una conexión ODBC. La conexión ODBC se genera con una cadena de conexión. En esta cadena de conexión tengo que incluir el nombre de usuario y la contraseña para esta conexión. ¿Hay una manera fácil de ocultar esta contraseña en el archivo (solo que nadie puede leer […]

¿Seguridad de eval () de Python en cadenas no confiables?

Si estoy evaluando una cadena de Python usando eval (), y tengo una clase como: class Foo(object): a = 3 def bar(self, x): return x + a ¿Cuáles son los riesgos de seguridad si no confío en la cadena? En particular: ¿Es eval(string, {“f”: Foo()}, {}) inseguro? Es decir, ¿puede alcanzar os o sys o […]