Todas las preguntas

1
respuesta

¿Qué beneficios de seguridad aporta ALPN a TLS?

He estado recomendando Negociación de protocolo de la capa de aplicación (el sucesor de la próxima negociación de protocolo) a personas para Hace un tiempo, pero recientemente me di cuenta de que en realidad no tengo un ejemplo concreto de sus...
pregunta 12.01.2017 - 11:37
2
respuestas

¿Por qué no hay una marca de SameOrigin que pueda colocar en las cookies para evitar el CSRF?

Hoy, pasé por el proceso de asegurarme de que mi servidor esté protegido contra los ataques CSRF, y me preguntaba por qué no hay solo una marca de SameOrigin que pueda establecer en mis Cookies. De la misma forma en que puede establecer HTTPOnly...
pregunta 12.01.2017 - 19:57
3
respuestas

¿Vectores XSS que funcionan sin corchetes de cierre?

Encontré una vulnerabilidad XSS reflejada que analiza el código HTML, pero si pones un corchete de cierre, el filtro lo elimina. ¿Hay algún código para una prueba de concepto que pueda ejecutar sin ningún corchete de cierre (>)? Gracias...
pregunta 17.01.2017 - 13:17
1
respuesta

¿Es seguro usar el cifrado TLS_RSA_WITH_NULL_SHA?

Estoy viendo que el cifrado TLS_RSA_WITH_NULL_SHA aparece en la lista cuando hago una prueba de conexión TLS_1.2 utilizando la herramienta TestSSLServer. Recuerdo que hace un tiempo, algunas herramientas de prueba de seguridad informaron que el...
pregunta 20.01.2017 - 13:53
2
respuestas

¿Crearía un honeypot WiFi al configurar una red falsa con un nombre genérico como "linksys"?

En esta página Apple dice lo siguiente:    SSID (Identificador de conjunto de servicios: nombre de la red Wi-Fi)       El SSID, o nombre de la red, identifica su red Wi-Fi para los usuarios y   Otros dispositivos wifi. Es sensible a las ma...
pregunta 24.09.2016 - 20:47
1
respuesta

¿Es necesario el RFC 3161?

Como he estado implementando los componentes del software RFC 3161 , me puse a pensar en ejecutar mi propia TSA y cómo se demuestra realmente la integridad de una marca de tiempo (preferiblemente sin violar las patentes). Investigué y consideré...
pregunta 30.08.2016 - 21:16
1
respuesta

¿Cómo puedo verificar si mi programa tiene vulnerabilidades a través de TCP?

Hice un programa que se ejecuta constantemente en un servidor Linux (Programa A ). También creé otro programa que actúa como interfaz de usuario para A (Programa B ). A escucha las conexiones entrantes a través de TCP. Después de que B s...
pregunta 14.01.2017 - 14:26
1
respuesta

Hash no criptográfico para autenticación de mensajes?

Mi aplicación utiliza UDP. La comunicación típica cliente-servidor consiste en un paquete (< 500 bytes de carga útil) del cliente y un paquete de respuestas a esas solicitudes del servidor. En el caso de pérdida de paquetes, el cliente debe r...
pregunta 01.09.2016 - 11:54
2
respuestas

Cómo hacer un token de usuario y dónde almacenarlo (lado del servidor)

Estoy creando una aplicación para iPhone y no quiero que el usuario tenga que iniciar sesión cada vez que abre la aplicación, por lo que quiero usar tokens de usuario. Mi pregunta es: ¿existe una forma comúnmente aceptada de crear tokens de usua...
pregunta 16.09.2016 - 20:11
3
respuestas

Bot desconocido usando Firefox 40.1 user-agent

¿Qué robot está generando este agente de usuario? Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1 No había Firefox versión 40.1 Desde los registros del sitio web (a) solo solicita la página de inicio (b) nunca so...
pregunta 23.08.2016 - 23:35