Todas las preguntas

1
respuesta

¿Existe una mejor manera de aprovechar los algoritmos actuales 'aprobados', 'probados' y de memoria / CPU-costosos al usar sales y pimientos?

He leído sobre los conceptos presentados en estas dos preguntas: La contraseña de pre-hash antes aplicando bcrypt para evitar restringir la longitud de la contraseña ¿Tendría sentido usar Bcrypt? y PBKDF2 juntos? Creo que he encontr...
pregunta 02.11.2012 - 01:29
4
respuestas

Lógica de autenticación del formulario de inicio de sesión

Estoy creando la acción del formulario de inicio de sesión y quiero asegurarme de que mi lógica sea sólida y lo más segura posible. 1.) Primero verifico si la dirección de correo electrónico proporcionada existe en la base de datos, si no, mu...
pregunta 08.11.2012 - 02:21
2
respuestas

¿Es posible averiguar el id y el secreto del cliente auth 2.0 cuando una aplicación se está comunicando con un servicio web?

Estoy creando una aplicación móvil que necesita comunicarse con un servicio web. Para asegurarme de que solo mi aplicación se esté comunicando con el servicio web, me autentico usando OAuth 2. El hecho de que necesito almacenar un ID de client...
pregunta 26.10.2012 - 14:33
1
respuesta

Base64 codifica las diferencias en implementaciones de BCrypt

Estaba leyendo el código fuente de varias implementaciones de BCrypt y descubrí que dos implementaciones comunes de c tienen una diferencia en su codificación de base64 para la sal. ¿Cuál es el efecto, si lo hay, de las diferencias en la líne...
pregunta 15.10.2012 - 09:04
2
respuestas

CVE-2012-4448 pci-scan

Actualmente estoy fallando una exploración de PCI debido a CVE-2012-4448 La resolución recomendada de Security Metrics es actualizar a una versión de wordpress superior a 3.4.2, sin embargo, actualmente esa es la versión más alta. investigar el...
pregunta 10.11.2012 - 02:23
1
respuesta

anonimización para escanear y piratear

¿Qué tipo de anonimización puede usarse para escanear y explotar? Por supuesto, hay VPN y VPS, pero esa es una historia diferente. Sé que algunas exploraciones se pueden realizar a través de TOR, pero ¿cómo se puede utilizar un exploit o algo a...
pregunta 13.09.2012 - 22:47
5
respuestas

El propósito de seguridad de solicitar la contraseña del administrador para montar la partición en Linux

Así que dividí mi unidad portátil de 250GB en 2 particiones y algo de intercambio. En la segunda partición, que es una partición de 60 GB ext4, instalé Fedora 17. En la otra partición NTFS más grande, tengo Win XP y los archivos que utilizo cuan...
pregunta 27.09.2012 - 06:27
2
respuestas

Conexión no cifrada al servidor, ¿es segura?

Estoy usando heroku y cloudflare. Voy a lanzar mi sitio web, pero no quiero hacerlo sin SSL. Ahora siempre necesito un complemento heroku para agregar mis certificados SSL que cuestan $ 20 por mes. Cloudflare habilita SSL sobre DNS pero es...
pregunta 04.09.2012 - 22:09
2
respuestas

Revelación de información por identificadores

Estoy haciendo una pequeña investigación y observé muchos sitios que revelan cierta información privada en los ID-s que asignan. Como ejemplo, me gustaría señalar los sitios de comercio electrónico que emiten ID-s de incremento automático para l...
pregunta 14.09.2012 - 14:52
4
respuestas

¿Formato común para enviar datos cifrados + IV?

Tengo una aplicación que recibe datos de terceros usando varios protocolos: MQTT, HTTP, AMQP, ... Algunos clientes no pueden usar TLS (dispositivos iot sin soporte TLS), por lo que necesitamos encontrar una forma compacta y fácil de recibir dat...
pregunta 28.07.2018 - 09:16