Todas las preguntas

2
respuestas

¿Puedo mover mi clave privada a un token mejor?

Recientemente compré un certificado de firma personal de GlobalSign, tampoco fue barato. Llegó ayer. GlobalSign me dio un dispositivo de token de seguridad USB "en blanco" - a SafeNet eToken 5100 . Desafortunadamente la experiencia del usuar...
pregunta 08.04.2016 - 18:34
3
respuestas

¿Las páginas de inicio de sesión sin conteos / bloqueos de reintentos son un riesgo para la seguridad?

Encontré una página de inicio de sesión para una organización de ciudad / edu que no tiene horas de sesión, ningún contador / bloqueo de reintentos y sin demoras si se realizan demasiados intentos en un determinado período de tiempo. Soy capaz d...
pregunta 26.04.2016 - 23:43
1
respuesta

¿Está JWT en las cookies con alguna solución CSRF tan vulnerable al XSS como JWT en el almacenamiento local?

He leído que los tokens JWT no deberían almacenarse en localStroage porque los ataques XSS pueden leerlos. La solución propuesta es almacenar tokens JWT en cookies HTTPOnly y usar cookies anti-CSRF con doble envío. OWASP dice que todas las soluc...
pregunta 11.04.2016 - 18:23
3
respuestas

¿Es un ataque plausible atacar un administrador de contraseñas en Android con acceso de root?

Hay una aplicación de administrador de contraseña para Android que estoy considerando usar, que lee un formato de base de datos para un administrador de contraseña de escritorio popular. Hay una parte de esta aplicación que me está dando una pau...
pregunta 06.04.2016 - 15:26
1
respuesta

Análisis de texto de correo electrónico no deseado

Mi proveedor de servicios de correo electrónico filtró un correo electrónico no deseado. Las huellas obvias, como la dirección de correo electrónico, los enlaces "haga clic aquí", el código de cupón, la urgencia de recibir las recompensas, es...
pregunta 26.04.2016 - 14:21
3
respuestas

¿Es posible probar que la clave del servidor TLS ha cambiado?

Sé de un sitio que actualmente usa SSLv2 y me niego a conectarme hasta que ellos Deshabilitar SSLv2 Vuelva a escribir sus servidores Insisto en el # 2 porque debido a DROWN , los servidores que ejecutan SSLv2 deben...
pregunta 12.04.2016 - 18:45
2
respuestas

¿Existe alguna posibilidad de que la PC se infecte cuando analiza el archivo de malware PCAP?

En la actualidad, hay muchos archivos de pcap de análisis de malware que llevan otros investigadores disponibles en Internet. Dichos archivos muestran el patrón de tráfico y la comunicación del malware con sus servidores C & C o cualquier ub...
pregunta 27.04.2016 - 17:46
2
respuestas

¿Hay ejemplos de daños enormes causados por fugas de contraseñas o políticas incorrectas de administración de contraseñas? [cerrado]

Todo el mundo sabe que una contraseña segura es muy importante. Sin embargo, no puedo encontrar ningún ejemplo público citable de ningún tipo en el que un usuario o usuarios hayan sufrido una gran pérdida por el uso de contraseñas malas, o que s...
pregunta 06.04.2016 - 15:33
1
respuesta

¿Cuál es el beneficio de OAuth “flujo de código de una sola vez (autenticación híbrida)”?

Con referencia a la omniauth-google-oauth2 gema que describe lo que denomina "Flujo de código único (Autenticación híbrida)" como tal:    Este flujo de autenticación híbrida tiene importantes ventajas funcionales y de seguridad en comparaci...
pregunta 27.07.2016 - 23:25
1
respuesta

¿Cuáles son los riesgos y los efectos de la temida "memoria USB asesina"?

   Un investigador de seguridad ruso conocido como "Dark Purple" ha creado una memoria USB que contiene una carga útil inusual.       No instala malware ni explota una vulnerabilidad de día cero. En su lugar, la memoria USB personalizada envía...
pregunta 05.08.2016 - 11:17