Todas las preguntas

2
respuestas

Usando la criptografía de curva elíptica

Me pregunto si ECC podría usarse de la manera en que los datos se cifran con la clave pública en lugar de la clave generada al azar. ¿Hay alguna ventaja en comparación con la forma "tradicional" de usar el cifrado asimétrico + asimétrico en c...
pregunta 04.10.2012 - 06:45
4
respuestas

¿Qué mecanismo impone los permisos de usuario en Unix / Linux?

Una de las piezas principales de seguridad en los sistemas Unix / Linux es la limitación de privilegios por usuario. Por ejemplo, ciertas acciones solo pueden ser realizadas por el usuario root. En teoría, esto puede evitar que un proceso malici...
pregunta 27.12.2012 - 13:25
2
respuestas

DPAPI y malware

Estoy considerando usar la DPAPI de Windows para proteger una clave ECDH que utilizo para cifrar algunos datos en una base de datos local en una aplicación de escritorio de Windows. Soy nuevo en DPAPI, pero entiendo que DPAPI puede usar las cred...
pregunta 26.01.2013 - 23:17
2
respuestas

Reiniciar nginx con Jenkins o Phing: ¿es seguro permitir que Jenkins ejecute sudo sin pedir contraseña?

Estoy implementando las recomendaciones de Integración de proyectos PHP con Jenkins para mis propios proyectos PHP. He creado un usuario jenkins en mi servidor ubuntu 12.10. Utilicé Phing como mi herramienta de compilación y tengo un paso e...
pregunta 28.12.2012 - 08:15
4
respuestas

¿Diferencia entre enmascaramiento y ataques de repetición?

Sé que enmascararse es hacerse pasar por una identidad falsa y la reproducción es la misma en la que una persona no autorizada utiliza las credenciales del autorizado para tener los privilegios. Entonces, ¿cuál es la diferencia entre los dos tér...
pregunta 10.01.2013 - 16:06
2
respuestas

¿Cuál es el estado del certificado de Windows Update después de Flame?

28 de mayo , el malware The Flame se descubre en Irán y por Kaspersky Labs. 5 de junio , Dan Goodin (Ars Technica ) señala que Flame había secuestrado Windows Update, difundiendo malware firmado a través de ese canal. 17 de junio , Ryan...
pregunta 20.10.2012 - 07:57
1
respuesta

¿Es una buena idea generar CRL específicos de certificados? ¿Cómo se llama esta técnica?

Supongamos que creo 3 certificados con las siguientes CRL Cert1 http://crl.server.com/batch1/root1.crl Cert2 http://crl.server.com/batch2/root2.crl Cert3 http://crl.server.com/batch3/root3.crl Suponga que la CRL está formada co...
pregunta 08.01.2013 - 01:44
2
respuestas

¿Es más seguro un certificado con más bits que su principal?

Let's Encrypt actualmente emite certificados RSA de 4096 bits si se solicita (el valor predeterminado, sin embargo, es 2048). Pero sus padres, el intermedio "Let's Encrypt Authority X3" y la raíz "DST Root CA X3", son ambos de 2048 bits. De...
pregunta 18.05.2017 - 01:34
2
respuestas

¿La "Autorización: portador" en el encabezado de solicitud solucionará los ataques CSRF? [duplicar]

He estado leyendo sobre la reparación de ataques CSRF. Según algunas investigaciones, entiendo que buscar un encabezado no estándar evitaría los ataques CSRF ya que el navegador no se enviará automáticamente tales encabezados Asumí que re...
pregunta 01.11.2017 - 13:30
3
respuestas

Sugerencias de ejercicios de CTF de pentesting para sistemas muy cerrados

Así que estoy haciendo un ejercicio de prueba / CTF contra un sistema muy cerrado. Solo los puertos 22 (ssh) y 80 (servidor web no identificado) están abiertos. El sistema es Linux. SSH al menos informa una versión actualizada sin vulnerabili...
pregunta 12.09.2017 - 20:15