Todas las preguntas

1
respuesta

¿Por qué los clientes, especialmente las aplicaciones móviles, siguen utilizando las suites Cipher débiles?

Estoy examinando la colección de suites de cifrado que usan algunas aplicaciones móviles (Cliente Hola) y noté que la mayoría de ellas incluyen TLS_RC4_128_MD5 y TLS_RC4_128_SHA . De acuerdo con la Hoja de referencia de protección d...
pregunta 14.03.2016 - 12:37
3
respuestas

Referencia de PCI de los primeros seis dígitos de la tarjeta de crédito

Necesito almacenar el PAN enmascarado con los primeros seis dígitos y los últimos cuatro dígitos junto con el mes y el año de vencimiento de la tarjeta. ¿Es seguro hacerlo de acuerdo con las reglas de PCI? En relación con cuatro dígitos se ha...
pregunta 08.03.2016 - 00:24
1
respuesta

Firefox & Chrome Strong Ciphers

De los siguientes cifrados para la autenticación RSA, Firefox y Chrome no usan más que ECDHE-RSA-AES128-SHA256. ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au...
pregunta 14.03.2016 - 17:17
3
respuestas

¿Se está agregando el texto sin formato a la sal igualmente seguro que al agregar la sal con el texto sin formato

Está utilizando hash(salt, plaintext) igualmente seguro que usar hash(plaintext, salt) , es decir, ¿se puede agregar el texto sin formato a la sal en lugar de agregar sal al texto sin formato. ¿Por qué o por qué no? ¿A qué tip...
pregunta 05.04.2016 - 10:42
1
respuesta

¿Cómo explotar una vulnerabilidad de Uso Después de Libre?

Quiero aprender más acerca de las vulnerabilidades de uso después de liberarse y encontré este tutorial. Sin embargo, no lo entiendo muy bien y espero una explicación de cómo funciona.     
pregunta 23.03.2016 - 21:05
1
respuesta

¿Se puede crear y firmar un certificado de dominio único con un certificado de comodín?

Dado un certificado de comodín SSl firmado por CA para, por ejemplo, *.example.com , ¿es posible crear un único certificado de dominio para decir foo.example.com y firmarlo con el certificado de comodín? Si es así, ¿cómo? (Se pre...
pregunta 15.03.2016 - 08:00
1
respuesta

¿El correo electrónico de phishing de Avast - Los encabezados parecen totalmente legítimos?

A continuación se muestra el correo electrónico con encabezados. Nunca me registré en el sitio, así que está claro que es phishing, pero los enlaces en el correo electrónico apuntan al sitio real de Avast. La ruta de entrega también parece legít...
pregunta 24.02.2015 - 17:04
1
respuesta

Revocar el acceso desde la intranet si un empleado abandona la organización

Una pregunta ha estado en mi mente últimamente. Supongamos que tiene una organización global con intranet que no existe, pero se supone que está desarrollada. Esta organización tiene oficinas en más de 50 países, y cada oficina funciona básic...
pregunta 08.04.2016 - 18:52
1
respuesta

¿Una CA está obligada a emitir un certificado para una solicitud legítima comprobada?

Como se indicó en ¿Alguna tecnología funciona? ¿Impedir que una CA revoque unilateralmente un certificado? , me siento un poco incómodo con la posibilidad de que las CA realicen la licencia de un sitio web para operar (dada la desestimación de...
pregunta 22.03.2016 - 18:18
3
respuestas

¿Es inseguro revelar si una contraseña se está utilizando para otra cuenta después de un período de tiempo establecido?

La reutilización de contraseñas puede considerarse una pandemia de seguridad. La forma obvia de solucionar esto es alentar a las personas a usar administradores de contraseñas, pero (comparativamente) pocas personas lo hacen. Mi idea es tener...
pregunta 17.03.2016 - 02:49