Todas las preguntas

1
respuesta

¿Cómo logran los atacantes comprometer a una CA?

Hay varias publicaciones por ahí que indican que algunas CA se han comprometido y han entregado certificados fraudulentos. Dado que las claves se almacenan en un HSM y solo la clave pública está disponible para otros, ¿cómo puede un atacante...
pregunta 19.10.2017 - 20:03
1
respuesta

Prevención de un eructo e intercepción

He creado una API de autenticación para administrar las sesiones de usuario y los trabajos. Para iniciar sesión en un usuario, el usuario envía sus credenciales a mi punto final de API y devuelve "verdadero" o "falso" según su inicio de sesión....
pregunta 16.12.2017 - 19:59
1
respuesta

¿Es posible diseñar un sistema donde el cliente no tenga que confiar en el servidor?

Cuando utiliza servicios como chat, envío de archivos, intercambio, etc., siempre tiene que confiar en el servidor que proporciona estos servicios. La única forma de usar los servicios sin tener que confiar en un tercero es no tener un tercero (...
pregunta 31.08.2014 - 12:06
2
respuestas

¿Se ha examinado la seguridad de PuTTY?

Me pregunto cómo PuTTY se compara con otras implementaciones de SSH con respecto al escrutinio y la seguridad de su implementación del protocolo SSH2. PuTTY es probablemente el cliente SSH más utilizado en la plataforma Windows, por lo que...
pregunta 19.02.2015 - 07:55
1
respuesta

Cerrar sesión de autenticación HTTP básica

Como se ve en enlace , hay algunas formas interesantes de cerrar la sesión de un usuario desde la autenticación básica HTTP. Actualmente estoy enviando un HTTP 401 para hacerlo así: GET logout.php <?php header('HTTP/1.1 401 Unautho...
pregunta 30.09.2014 - 19:00
2
respuestas

¿Es una buena idea usar el nombre de usuario del usuario como una sal cuando se escribe un hash con una contraseña como hash (username_str + password_str)?

Estoy ayudando a mi amigo con el hashing de sus contraseñas, y tengo una pregunta: ¿Debería usar una cadena secreta como salt para el hashing o es mejor que cada usuario tenga su propia sal para el hashing? Considera estos tres hashes: hash...
pregunta 10.10.2014 - 22:03
1
respuesta

¿Estoy seguro si estoy buscando en / cgi-bin / return HTTP 403?

Me pregunto si mi servidor podría ser vulnerable a ShellShock (o mejor: era vulnerable). La prueba de shell revela que soy vulnerable: $ export evil='() { :;}; echo vulnerable'; bash -c echo; vulnerable No necesito CGI para ninguno de mis s...
pregunta 25.09.2014 - 22:36
2
respuestas

Iniciar sesión en Google+: flujo de código de un solo uso versus flujo del lado del servidor puro

Estoy leyendo la documentación sobre el inicio de sesión de Google+, más específicamente, su flujo del lado del servidor. Dice ( enlace ) que el flujo de código de un solo uso tiene ventajas de seguridad sobre el lado del servidor puro fluir. Di...
pregunta 13.09.2014 - 10:01
3
respuestas

¿Cómo es seguro compartir LastPass?

Estoy tratando de entender cómo LastPass puede ser seguro si permite compartir contraseñas con usuarios que aún no han creado cuentas. Su Preguntas frecuentes dice: "Cuando desea compartir datos con otra persona, tira su clave pública y la...
pregunta 12.12.2017 - 18:39
1
respuesta

¿Es vmware vulnerable a shellshock?

Tenemos un montón de servidores vmware alojados en nuestro entorno DMZ, con el reciente error de Shell Shock, ¿qué debo hacer para proteger nuestro entorno?     
pregunta 25.09.2014 - 18:39