Todas las preguntas

7
respuestas

¿Cómo se aseguran los navegadores de que su página de configuración sea segura?

Echa un vistazo a la imagen de abajo. Esta página no se carga a través de https, así que, ¿cómo se aseguran los navegadores modernos de que esta página es segura?     
pregunta 17.11.2017 - 12:11
3
respuestas

¿Cuál es el propósito de rotar frecuentemente los certificados TLS sin cambiar las claves subyacentes?

Leí en la trampa de OWASP sobre el certificado / la fijación de claves públicas que "Google gira su certificados ... aproximadamente una vez al mes ... [pero] las claves públicas subyacentes ... permanecen estáticas ". Aumentar la frecuenci...
pregunta 14.04.2015 - 06:53
2
respuestas

¿Cómo se compromete el intercambio de claves no efímero Diffie-Hellman en SSL cuando se filtra la clave privada RSA?

A mi entender, una de las principales razones por las que recomendamos Diffie-Hellman Efímero (por ejemplo, DHE o ECDHE) sobre DH no efímero, para SSL / TLS, es el compromiso de la clave privada RSA (es decir, el certificado privado) permitiría...
pregunta 20.06.2013 - 21:10
3
respuestas

¿Es seguro almacenar la contraseña de la base de datos en un archivo PHP?

Mi archivo connection.php almacena las credenciales para conectarse a la base de datos: <?php $objConnect = mysql_connect("localhost","username","password"); mysql_select_db("selectDB", $objConnect); ?> Cuando una pág...
pregunta 01.04.2012 - 17:52
2
respuestas

¿El correo electrónico de mi sitio de WordPress es un hack o simplemente un comentario normal?

Recibí un correo electrónico para mi sitio de WordPress, donde la sección de comentarios está deshabilitada. Este fue el correo electrónico: "Autor: google (IP: 210.56.50.40, 210.56.50.40) Correo electrónico: [email protected] URL: en...
pregunta 24.04.2015 - 08:13
7
respuestas

¿Cuál es una buena forma práctica (y sana) de administrar todas sus contraseñas para sitios en línea?

Soy un simple mortal que quiere tener una forma segura de administrar todas mis contraseñas. Esto es algo que he estado posponiendo, pero desde que LinkedIn decidió regalar una de mis contraseñas , Pensé que ya era hora de abordar este pro...
pregunta 06.06.2012 - 19:13
3
respuestas

Forzado a usar un IV estático (AES)

Hemos tenido que ampliar nuestro sitio web para comunicar las credenciales de los usuarios a un sitio web de proveedores (en la cadena de consulta) mediante AES con una clave de 256 bits, sin embargo, están utilizando un IV estático al descifrar...
pregunta 10.12.2010 - 16:44
4
respuestas

Honeypot en la red doméstica para ayudarme a aprender

Soy un probador de penetración de aplicaciones web bastante decente (IMO), pero estoy ansioso por ampliar mi conocimiento de otras áreas de seguridad. Dado que acabo de asumir algo así como un rol de administrador de sistemas mejorado en mi trab...
pregunta 20.05.2011 - 04:48
4
respuestas

¿Los sellos de seguridad y la “percepción de seguridad”?

Comprendo claramente que los sellos de seguridad (verisign o norton secure, etc.) que se muestran en los sitios web bancarios y de otro tipo se generan mediante una secuencia de comandos y están disponibles solo después de la compra e instalació...
pregunta 05.04.2013 - 07:41
5
respuestas

¿Cuál es el límite práctico para la fuerza bruta basada en la tabla arco iris?

Digamos que tenemos un hash de una contraseña. Se puede considerar que la contraseña está hecha de caracteres totalmente aleatorios y tiene una longitud fija de N. El hash es SHA1 (contraseña + sal), donde la sal es de longitud M. ¿Qué tan gr...
pregunta 23.03.2012 - 09:30