Todas las preguntas

1
respuesta

MVC 5 y Multiple AntiForgeryTokens: ¿Qué está pasando?

Tengo un formulario de inicio de sesión simple. En ella, pongo un AntiForegeryToken. @using (Html.BeginForm("Login", "Account")) { @Html.AntiForgeryToken() <p> <label>Email</label> <input type="tex...
pregunta 06.10.2014 - 19:25
1
respuesta

Aclaración de la marca -h para Makecert.exe

Cuando se usa Makecert.exe de Microsoft para generar un certificado (y una clave), existe la opción de supuestamente "especificar la altura máxima del árbol debajo de ese certificado", usando la marca -h (vea MSDN ). Como experimento, creé u...
pregunta 29.10.2014 - 13:09
1
respuesta

¿Es una buena idea hacer doble cifrado AES con 2 claves diferentes, cuando el usuario retiene una y la otra se almacena en el servidor?

Estoy construyendo una aplicación web. La aplicación necesita mantener ciertos datos dentro de la base de datos muy seguros. Supongamos por un momento que no tengo un HSM o una instalación de administración de claves y no puedo costear la imp...
pregunta 24.10.2014 - 08:41
3
respuestas

¿Por qué la misma política de origen hace que mi PoC falle cuando no necesito leer los datos de devolución?

Estoy realizando un análisis de vulnerabilidad autorizado en un servicio web personalizado y he descubierto una vulnerabilidad CSRF. Debido a que no hay tokens de formularios junto con el servicio sin verificar el encabezado de origen, creí q...
pregunta 17.10.2014 - 02:30
1
respuesta

Comprensión errónea del cifrado transparente de datos (TDE) de SQL Server

Alojamos una base de datos para una de nuestras aplicaciones en Microsoft SQL Azure. Uno de nuestros clientes no estaba satisfecho con el hecho de que TDE no es compatible con SQL Azure (y, de lo contrario, la base de datos no está cifrada en el...
pregunta 11.10.2014 - 16:45
3
respuestas

Drupal SQLi solo en el formulario de inicio de sesión?

Recientemente, CVE-2014-3704 estuvo en las noticias. Esta vulnerabilidad permite a los atacantes ejecutar SQLi sin necesidad de iniciar sesión. Sin embargo, he buscado las vulnerabilidades disponibles y solo he encontrado explotaciones que hacen...
pregunta 03.11.2014 - 12:49
3
respuestas

Pasos para crear un buen cifrado de archivos en Android

Quiero poder crear un buen cifrado de archivos en Android para una aplicación en la nube. Los archivos utilizados son principalmente archivos PDF, pngs, docs, audio, video, etc. (todo tipo de archivos). Editar : Mis limitaciones son que deber...
pregunta 22.10.2014 - 08:53
1
respuesta

¿Los paquetes de cifrado definidos en TLSv1.2 pueden ser negociados por clientes que solo admiten TLSv1.0?

Si mi servidor solo tiene habilitados los conjuntos de cifrado que están definidos por TLSv1.2, eso obliga a un cliente a usar TLSv1.2, o bien no podrá conectarse o la conexión puede retroceder a TLSv1.1 o 1.0 y aún negociar el cifrado TLSv1.2?...
pregunta 15.10.2014 - 23:21
4
respuestas

¿Necesito un antivirus para esta instalación inusual, o solo un firewall?

Estoy donando una vieja computadora portátil con Windows XP a una escuela. La máquina pasará sus años dorados haciendo solo una cosa, un proceso que consta de solo tres pasos: Grabación de conferencias y discusiones con el software de grabac...
pregunta 31.10.2014 - 20:26
1
respuesta

Teclas pegajosas en RDP

Un informe reciente en la página 18 indica que:    [black hats] incluso han aprovechado [las herramientas de administración de sistemas] como un medio para mantener una persistencia adicional a través de la configuración de "teclas adhesiva...
pregunta 30.10.2014 - 12:20