Todas las preguntas

1
respuesta

La mejor manera de evitar el phishing desactivando los enlaces HTML

Los ataques de phishing son muy comunes hoy en día. Las víctimas inocentes hacen clic en enlaces sospechosos en los correos electrónicos y se infectan. Sé que para evitar el phishing, una de las formas es educar a los usuarios sobre el uso corre...
pregunta 03.11.2015 - 08:34
1
respuesta

¿La autenticación del cliente necesita que el servidor tenga un certificado intermedio?

Tengo un escenario en el que, en el envío de cliente, se envía un certificado de cliente emitido desde una raíz confiable. La ruta del cliente cert es como: Raíz de confianza    | ----- Emisor Intermedio              | ---- Certificado de client...
pregunta 30.10.2015 - 06:30
1
respuesta

Uso de Google Cloud Platform para almacenar datos de tarjetas de crédito

He creado una aplicación para iPhone para que los usuarios reserven habitaciones de hotel. Un tercero proporciona el servicio para reservar las habitaciones de hotel y cargar las tarjetas de crédito. Por el momento, mi aplicación no intenta guar...
pregunta 21.10.2015 - 07:04
1
respuesta

Uso de la contraseña, entre otros valores, como datos clave en la autenticación de dos factores

Estoy escribiendo una implementación y una tesis sobre la autenticación de dos factores, y actualmente estoy investigando. Actualmente estoy buscando una implementación para generar de manera determinista una clave compartida compuesta basada en...
pregunta 05.11.2015 - 16:15
2
respuestas

Seguro para almacenar datos encriptados con un archivo pfx (protegido por contraseña)

He creado un certificado autofirmado con el certificado New-SelfSignedCertificate de Powershell, con la intención de cifrar y almacenar un nombre de usuario / contraseña en público. Utilizando específicamente - New-SelfSignedCertificate -Te...
pregunta 07.11.2015 - 05:46
1
respuesta

¿Cuáles son algunas etiquetas y cargas útiles para la inyección de HTML en sitios protegidos por CSP?

Estoy probando un sitio web que corrigió la mayoría de sus vulnerabilidades de XSS simplemente agregando una Política de seguridad de contenido. Todavía hay inyecciones de HTML en varios lugares. He intentado obtener un archivo que contiene Java...
pregunta 13.04.2015 - 08:55
1
respuesta

¿Son las rondas en un algoritmo de criptografía lo mismo que iterar el algoritmo?

En un algoritmo de criptografía como AES o DES, ¿el número de rondas significa lo mismo que iterar el algoritmo? Ejemplo: c= "plaintext"; for(int i=0;i<5; i++) { c = AES(c , "key"); } Donde c contiene el texto cifrado producido desp...
pregunta 20.10.2015 - 19:52
3
respuestas

OpenID Connect: ¿Por qué usar el flujo de código de autorización?

Tengo una pregunta sobre la implementación de OpenID Connect en la que esperaba poder obtener ayuda. Comprendo los diferentes flujos y entiendo que el flujo del código de autorización es bueno porque permite que las credenciales del cliente y la...
pregunta 25.03.2015 - 12:08
2
respuestas

JKS - Archivo de configuración y protección del almacén de claves

Parece que el servidor web utiliza a menudo Java Keystore mediante un archivo de configuración, con la contraseña que abre el JKS escrito y también la contraseña que protege la entrada específica. ¿Cómo podría eso ser considerado seguro? Con...
pregunta 26.03.2015 - 09:52
1
respuesta

¿Qué KDF debería usarse para las ECIES?

Según Wikipedia , ECIES requiere una función de derivación clave. Ya tengo una implementación de PBKDF2-HMAC-SHA256 en mi biblioteca, por lo que podría usar esto. ¿PBKDF2-HMAC-SHA256 (salado por supuesto) es suficiente como KDF? ¿O debería u...
pregunta 19.04.2015 - 15:07