Todas las preguntas

2
respuestas

¿Qué amenazas pueden provenir de un Certificado desactualizado en una LAN privada?

En nuestra empresa, usamos una LAN "aproximadamente 1,000 usuarios", servida con servidores internos que incluyen correo electrónico, DNS y muchos servidores web. Cada vez que accedo a cualquiera de los sitios de la red, recibo un mensaje sobre...
pregunta 05.11.2015 - 10:03
1
respuesta

Ayuda a comprender el PCI-DSS cuando se utiliza el cifrado basado en contraseña de las claves generadas automáticamente

He heredado la tarea de auto auditar un sistema de comercio electrónico para cumplir con el PCI-DSS. Estamos almacenando el PAN en nuestra base de datos en forma cifrada utilizando un algoritmo AES de 256 bits para realizar el cifrado. La gen...
pregunta 25.10.2012 - 18:23
1
respuesta

Necesita ayuda para comprender el código ofuscado en la vulnerabilidad CVE-2012-4969

Como usted sabe, esta vulnerabilidad se encontró hace tiempo en la naturaleza y el exploit también está disponible, por cierto, estoy teniendo problemas para entender el código ofuscado. ¿Es necesario usar la ofuscación y por qué el atacante usó...
pregunta 06.10.2012 - 20:44
3
respuestas

¿Puedo hacer una firma XAdES envolvente en contenido binario?

Necesito firmar algunos contenidos binarios (documentos escaneados) con una firma digital compatible con las normas europeas, CAdES - XAdES. Una opción sería utilizar esta biblioteca para hacer una firma XAdES. ¿Existe una forma estándar de em...
pregunta 22.12.2015 - 09:49
2
respuestas

¿Cuántos datos debo almacenar en la computadora de un usuario sobre su información de inicio de sesión?

Actualmente estoy guardando la información de "inicio de sesión" de un usuario (¡no su contraseña sin formato, por supuesto!). Cada dispositivo / navegador obtiene su propia ID segura del servidor, todo bien y bien. Sin embargo, ¿también debo...
pregunta 20.10.2015 - 22:32
2
respuestas

¿Asegurar una URL accesible anónima con un segmento GUID?

En mi problema, hay un sistema existente que funciona como un servicio de alerta o de recorte que ejecuta búsquedas definidas por el usuario y genera listas de resultados. Estos son configurados por usuarios autenticados y este sistema interno u...
pregunta 21.11.2012 - 19:56
1
respuesta

¿Las claves públicas hacen que Kerberos sea más seguro (RFC4556)?

Estamos usando IPA para centralizar nuestra autenticación y encontré una opción para agregar una clave pública para cada usuario. Después de investigar un poco, descubrí que esta es una extensión de Kerberos 5, RFC4556. Desde mi entendimien...
pregunta 09.10.2012 - 17:16
1
respuesta

¿Por qué eliminar la codificación de aceptación?

Parece que hay varios productos de "seguridad" que están trip o mangle 'Accept-encoding' headers , forzando así las respuestas no comprimidas de los servidores HTTP. He estado tratando de imaginar si hay alguna buena razón para hacerlo: es r...
pregunta 09.08.2012 - 23:27
3
respuestas

¿Existen herramientas de análisis de DNS que puedan detectar malos resultados de DNS?

¿Hay alguna herramienta (o al menos métodos que funcionen, si actualmente no existen herramientas gratuitas) que se puedan usar para detectar resultados de DNS falsos? Sería muy sencillo detectar un ataque en la línea de DNSChanger (solo avis...
pregunta 29.07.2012 - 06:55
1
respuesta

Estrategia / algoritmo de generación de claves AES para el sistema fuera de línea

Digamos que tengo varias aplicaciones que no están conectadas a ninguna red, y tengo un requisito que dice que cada aplicación podría producir un token a partir de una entrada que otra aplicación podría validar el token siempre que se le dé la m...
pregunta 08.09.2012 - 20:34