Todas las preguntas

1
respuesta

¿Inyección de objetos PHP en ausencia de código fuente?

Sé que el proceso de explotación de la inyección de objetos PHP. Leí en algún lugar que solo se puede explotar cuando el atacante conoce el código interno. De Verdad? Si encuentro una vulnerabilidad de inyección de objetos PHP y no conozco el có...
pregunta 26.12.2017 - 18:30
1
respuesta

¿Es mi política de seguridad de contraseña de banco en línea lo suficientemente buena?

Mi banco tiene una política de seguridad de contraseña en línea que me parece 100% incorrecta en todos los niveles. Como es uno de los bancos más grandes de mi país, le doy el beneficio de la duda y considero la posibilidad de que no esté viendo...
pregunta 13.12.2017 - 17:35
1
respuesta

¿Qué método de cifrado debo usar al conectar varios clientes a un servidor local?

Actualmente estoy escribiendo un proyecto en C usando OpenSSL / TLS y no tengo mucha experiencia en el cifrado. He establecido con éxito conexiones OpenSSL sin cifrar y tengo una experiencia relativamente alta en C / C ++. El proyecto implica la...
pregunta 07.08.2017 - 07:43
1
respuesta

Práctica recomendada para el cifrado de portátiles: ¿cifrado anidado?

Hasta ahora he usado una computadora portátil que tiene una sola carpeta encriptada (usando filevault2) Contiene mis contraseñas y material bancario. Estoy obteniendo una nueva computadora portátil que fomenta el cifrado de disco completo. Es...
pregunta 24.12.2017 - 01:16
1
respuesta

¿Pensé que el software MDM estaba destinado a hacer que los teléfonos inteligentes sean más seguros?

De The Verge (marzo de 2016) :    El nuevo ataque aprovecha los controles de software menos rigurosos para los usuarios de dispositivos corporativos, especialmente aquellos que usan soluciones de administración de dispositivos móviles (o MDM...
pregunta 05.01.2018 - 21:53
2
respuestas

¿Se incluyen activos externos en la desaprobación de la PCI TLS 1.0 de 2018?

Con el próxima venida de TLS 1.0 para el cumplimiento de PCI , pensé que confirmaría algo: ¿qué categorías de activos con referencia externa (en su caso) podrían causar una falla de cumplimiento si sus dominios aún aceptaban conexiones TLS 1.0...
pregunta 25.01.2018 - 03:27
2
respuestas

¿Es SipHash una alternativa segura a HMAC-SHA256 para la autenticación de usuarios?

Después de leer la página de Wikipedia sobre SipHash, creo que se puede usar como HMAC-SHA256 en JWT para crear y verificar Tokens de API (autenticar dispositivos cliente). En JWT, el servidor crea este MAC para firmar identificadores de us...
pregunta 11.01.2018 - 00:44
1
respuesta

Son Meltdown y Specter complementarios y se usan juntos

Meltdown y Spectre han sido anunciados al mismo tiempo, casi siempre en la misma oración. ¿Hay una conexión, aparte del tiempo y el hecho de que atacan los chips? ¿Se usan en conjunto para explotar un sistema? ¿O es solo una coincidencia que se...
pregunta 05.01.2018 - 14:11
1
respuesta

Reduciendo la resolución de los temporizadores como mitigación contra Meltdown y Specter

He leído que la versión actual de Firefox mitigación against Meltdown and Spectre (desde 57.x) consiste en lo siguiente:    La resolución de performance.now () se reducirá a 20µs.    La función SharedArrayBuffer se está deshabilitando de...
pregunta 09.01.2018 - 07:44
1
respuesta

convencer a los colegas de que restablecer las contraseñas en nombre de los usuarios es peligroso

Tenemos una aplicación web que requiere que los usuarios inicien sesión con nombre de usuario y contraseña. Tenemos una función de restablecimiento de contraseña para los usuarios que sigue más o menos correctamente las pautas descritas por Troy...
pregunta 05.01.2018 - 13:13