Todas las preguntas

2
respuestas

La tienda guarda los datos de la tarjeta de crédito de los pedidos de los huéspedes

Una tienda web permite a los clientes realizar pedidos como invitados o crear una cuenta. Ordené como invitado, ingresé mi dirección de correo electrónico y la dirección de envío y pagué con tarjeta de crédito (tuve que ingresar el código d...
pregunta 27.02.2015 - 18:49
4
respuestas

En una red monitoreada, ¿pueden los administradores saber si se está utilizando Tor?

No estoy preguntando si Tor está seguro, estoy preguntando si un observador puede saber que está utilizando Tor. Por ejemplo, si el ISP de una persona o la red de la empresa controla el tráfico, ¿podrían determinar con certeza que una persona...
pregunta 23.05.2015 - 08:45
1
respuesta

¿OpenSSH usa cifrados de exportación?

Con toda esta charla de 'FREAK', nadie ha mencionado OpenSSH. Implementa bibliotecas de OpenSSL (hasta hace poco, de todos modos). ¿Por qué la gente no está hablando de esto? ¿hay incluso una manera de configurar cifrados de exportación en ss...
pregunta 07.03.2015 - 13:07
1
respuesta

Cómo detectar si una CA usó EV para un certificado usando openssl

Quiero descargar el certificado de un nombre de host particular y detectar si la CA usó EV (validación extendida) al emitirlo. Hasta ahora no he podido encontrar nada que identifique certificados como EV. ¿Hay alguna manera de lograr esto? ¿Idea...
pregunta 07.05.2015 - 14:58
1
respuesta

¿Puedo almacenar de forma segura el hash (sessionId) en los registros de la aplicación?

Estoy considerando almacenar un hash del ID de sesión de un usuario en nuestros registros de aplicaciones en cada solicitud. Esto permitiría que las sesiones de los usuarios se rastrearan fácilmente a las acciones en nuestros registros. Entie...
pregunta 26.08.2015 - 14:47
2
respuestas

¿Se puede falsificar una etiqueta meta? (¿Es un metatag suficiente para declarar que una página está protegida?)

Fondo Estoy trabajando como desarrollador de aplicaciones para usuario y tengo muy poca experiencia en seguridad. Estamos trabajando con una configuración backend muy oscura, utilizando una base de datos 4D y WebClerk en la parte superior....
pregunta 22.09.2015 - 15:15
2
respuestas

¿Cómo verificamos la identidad antes de crear una nueva cuenta de administrador?

Estamos diseñando la seguridad para un servicio Saas B2B, las cuentas de usuario y de administrador se basan en las direcciones de correo electrónico del cliente; por lo general, nuestros clientes son pequeñas organizaciones sin personal propio...
pregunta 15.05.2015 - 09:53
4
respuestas

Si un ladrón tiene el teléfono en su poder, ¿cómo se puede implementar la Recuperación de contraseña de forma segura?

La recuperación de contraseña estándar implica enviar un mecanismo de restablecimiento de contraseña al usuario; Ya sea para correo electrónico, sms o llamada telefónica. Sin embargo, si un ladrón ha sido robado, el ladrón tiene acceso total a e...
pregunta 14.09.2015 - 11:42
2
respuestas

Iniciar sesión de usuario automáticamente después de hacer clic en Correo electrónico de activación de cuenta

Escenario: registros de la cuenta del foro, el usuario debe hacer clic en un correo electrónico de activación después de registrarse, por ejemplo. crean una cuenta con nombre de usuario, correo electrónico, contraseña y se envía un correo electr...
pregunta 06.11.2015 - 12:58
2
respuestas

Reacción al spam de un conocido

A menudo sucede que recibo un correo electrónico como este:    De: [email protected]       Para: [email protected]       Hola, [email protected] -       Comprueba esto: http://herbal-viagra.com       - [email protected] E...
pregunta 13.09.2015 - 04:01