Todas las preguntas

2
respuestas

Mejores prácticas para la recuperación de archivos encriptados (o contraseñas)

Estoy escribiendo una aplicación (Java) que almacena datos potencialmente confidenciales en la nube utilizando un proveedor elegido por el usuario. Así que estoy cifrando los archivos usando AES / EAX + PBKDF2. Esa es la parte fácil, o eso parec...
pregunta 17.09.2016 - 08:21
1
respuesta

Lista de revocación de certificados (CRL) verificando las mejores prácticas

Tengo una aplicación que usa TLS para asegurar la comunicación entre las dos partes. Los certificados involucrados tienen (Lista de revocación de certificados) puntos de distribución de CRL incluidos. El punto de distribución de CRL puede o no s...
pregunta 24.08.2016 - 15:34
1
respuesta

¿Se rompe PMK PSK / Personal PMK?

No estoy seguro de la diferencia entre la generación de claves WPA-PSK TKIP y WPA-Enterprise TKIP. ¿Ambos generan las mismas claves de PMK, pero para diferentes propósitos o se crean a través de un proceso totalmente diferente?     
pregunta 11.09.2016 - 15:40
2
respuestas

Criptografía asimétrica como función de hash

¿Puedo reemplazar el hashing de contraseña con la siguiente estrategia: Genere un par de claves públicas / privadas, almacene la clave pública como "sal" y destruya la clave privada. Tal vez ni siquiera podamos generar la clave privada en p...
pregunta 28.09.2016 - 13:56
1
respuesta

¿Existe alguna ventaja en el uso de pares de claves separados para el cifrado y la firma? [duplicar]

Supongamos que estamos diseñando un protocolo binario para el intercambio de mensajes entre dispositivos. Parte del mensaje estará cifrado RSA y también habrá un bloque de firma RSA en el mensaje. ¿Hay alguna ventaja en el uso de dos pares...
pregunta 04.10.2016 - 20:40
1
respuesta

¿Es seguro usar JWT como identificador de sesión?

Estaba leyendo este artículo y dice que podría haber algunas vulnerabilidades con JWT. Del artículo:    Había dos formas de atacar una biblioteca JWS que cumple con los estándares para lograr una falsificación de token trivial:       E...
pregunta 17.03.2017 - 18:53
1
respuesta

Detectando el ataque de cámara lenta al verificar el registro de Apache

Estoy realizando una simulación de un ataque de cámara lenta en un servidor Debian que ejecuta Apache. Las máquinas atacantes también son Debian. Para asegurarme de que el ataque de slowloris fue efectivo, me gustaría acceder a los registr...
pregunta 20.03.2017 - 11:27
2
respuestas

¿Puede enviar un CVE para una plataforma de código cerrado no mencionada?

Me di cuenta de que hay una lista de plataformas / proveedores para las que se puede solicitar un CVE. ¿Qué sucede si encuentro un CVE para una plataforma propietaria (que está disponible comercialmente), hay una manera de asignarle un CVE?...
pregunta 28.03.2017 - 20:15
2
respuestas

Información personal disponible en la unidad de red compartida

El almacenamiento de información personal del personal (nombres, direcciones, fechas de nacimiento) en una unidad de red compartida que permite el acceso anónimo y sin restricciones a todo el personal presenta una violación del principio 7 de la...
pregunta 06.04.2017 - 10:48
2
respuestas

¿Cuál es el punto de comprar una Blackberry que ejecuta el sistema operativo Android?

Recientemente, Blackberry comenzó a vender teléfonos inteligentes que ejecutan el sistema operativo Android. Si el sistema operativo Android tiene tantos problemas de seguridad listos para usar, ¿por qué molestarse en pagar más por ello? Blac...
pregunta 24.09.2016 - 00:50