Todas las preguntas

2
respuestas

¿Podrían mitigarse los ataques HTTPS como CRIME cambiando la cookie de sesión regularmente?

Acabo de leer sobre CRIME que es un ataque para robar información confidencial mediante la creación de solicitudes. ¿Se podría mitigar este ataque, si el servidor no enviara al cliente la clave de sesión real para guardar en una cookie, sino u...
pregunta 06.08.2014 - 14:40
1
respuesta

Java org.xmlpull.v1.XmlPullParser y entidad externa XML (XXE) que procesan ataques

Estoy evaluando la seguridad de una aplicación de Android y la aplicación está utilizando XmlPullParser incluido con Android. Tengo algunas dificultades para que cualquier ataques comunes funcione, pero quiero Asegúrate de no haberte perd...
pregunta 11.10.2014 - 21:13
4
respuestas

¿Se requiere el cumplimiento de PCI-DSS para la fuente de pago sin tarjeta de crédito?

Tenemos una aplicación bancaria que le permite pagar sus facturas (utilizando su cuenta corriente / de ahorros), incluidas las facturas de sus tarjetas de crédito. Sin embargo, nuestro sistema se configuró de manera tal que usted ingrese el núme...
pregunta 09.10.2014 - 03:30
2
respuestas

¿Existe algún peligro al permitir que los usuarios alojen archivos PDF / RTF / DOC en mi servidor web?

Si permitiera a los usuarios alojar archivos PDF / RTF / DOC arbitrarios en mi servidor, todos con el mismo nombre, pero con cadenas de consulta diferentes, ¿habría algo de qué preocuparse? He oído hablar de las vulnerabilidades de PDF / RTF, y...
pregunta 19.09.2014 - 20:11
1
respuesta

LibreSSL 2.0.5 - ¿Por qué no fue afectado completamente por secadv_20140806.txt?

De: enlace El anuncio: We have released LibreSSL 2.0.5, which should be arriving in the LibreSSL directory of an OpenBSD mirror near you. This version forward-ports security fixes from OpenSSL 1.0.1i, including fixes for the following CV...
pregunta 16.08.2014 - 09:45
2
respuestas

Cómo reconocer el tráfico TOR

Al tener un archivo PCAP con tráfico TOR, ¿hay alguna manera lo suficientemente rápida para reconocer si alguno de los paquetes forma parte del tráfico / sesiones TOR? Algunas herramientas hablan sobre la "identificación de protocolo a través...
pregunta 20.09.2015 - 11:03
2
respuestas

Cargando el código de forma segura en Trusted Execution Environment (ARM)

Estoy leyendo sobre TEE en ARM. Estoy buscando indicaciones para las siguientes preguntas: ¿Cómo carga TEE el código del sistema operativo de forma segura y garantiza que no sea un código malicioso? Supongo que el código está firmado y e...
pregunta 08.09.2014 - 19:09
2
respuestas

¿Las contraseñas débiles son aceptables para el desarrollo interno?

Tenemos varios entornos de desarrollo interno que usan contraseñas débiles en los componentes Auth y SQL; particularmente utilizando contraseñas como "contraseña" o "Contraseña1". Obviamente, estos cambios se han modificado para los entornos...
pregunta 25.08.2014 - 23:40
2
respuestas

Firma digital: ¿Cómo sé lo que estoy firmando?

Supongamos que tengo que firmar un formulario PDF. Si estoy utilizando (digamos) Acrobat Reader y un token de seguridad de hardware, en algún momento se me solicitará un PIN para autorizar al token a firmar el documento.    ¿Cómo puedo estar...
pregunta 17.10.2015 - 02:50
2
respuestas

¿Cómo "emparejar" una aplicación cliente / servidor de forma segura?

Por favor, perdóneme si mi pregunta es una reformulación de un problema común, ¡pero no estoy seguro de qué buscar! Mi caso de uso es un programa cliente-servidor. El servidor se ejecuta en la PC de un usuario y el cliente se ejecuta en sus d...
pregunta 19.10.2015 - 23:30