Todas las preguntas

1
respuesta

¿En qué situaciones se pueden “falsificar” las claves SSL y qué significa eso?

Cotizaciones de @devknoll haciendo referencia a Patribotics :    No es un espejo. Está firmando SSL usando los mismos certificados que enlace por amor de Dios. ¿Los sitios duplicados o con carga equilibrada no comparten la misma cl...
pregunta 22.03.2017 - 22:36
1
respuesta

Verificación de integridad de la configuración de privacidad [cerrado]

Buscando maximizar el anonimato. ¿Qué saldrá mal con esta configuración (aparte de que puede ser lenta)? Laptop con NIC de fábrica removida y reemplazada (USB NIC u otra). Ejecutando Linux como SO principal (host) Ejecutando Express VPN en el...
pregunta 27.03.2017 - 05:03
2
respuestas

¿se necesita todo el texto cifrado para el descifrado en cifrado asimétrico?

en cifrado simétrico es diferente. sin embargo, en cifrado asimétrico digamos que solo tenemos una parte del texto cifrado, no todo el texto cifrado. También tienes la clave privada. puedes descifrar esa parte específica del texto cifrado con la...
pregunta 27.03.2017 - 01:22
1
respuesta

Protegiendo el sitio web con redireccionamiento nginx 301 y firewall HTTP

Estoy configurando un sitio web de hobby y tratando de hacerlo lo más seguro posible. El backend es nginx + uwsgi. He configurado la conexión HTTPS. Para las solicitudes que no son SSL, tengo las siguientes reglas en nginx.conf: server { l...
pregunta 28.03.2017 - 08:31
1
respuesta

Si hay un paquete TCP no cifrado enviado a una APP de transmisión de datos cifrados, ¿qué pasaría?

Si estoy usando un cifrado entre dos computadoras y la clave de cifrado está predeterminada (saber agitar) y un atacante no puede y no conoce la clave de cifrado. Si creo una conexión TCP entre la computadora A y B. Si el atacante intercepta la...
pregunta 28.03.2017 - 11:15
3
respuestas

Clasificación de riesgo de XSS autenticado

Durante una prueba de seguridad, me preguntaba cuál sería la clasificación de riesgo en una vulnerabilidad XSS autenticada. Entiendo que depende de los esquemas de clasificación, por lo que el enfoque en esta pregunta es "¿cuáles son los riesgos...
pregunta 23.03.2017 - 12:14
3
respuestas

Cómo identificar un dispositivo de usuario

Quiero implementar algo similar a gmail donde el inicio de sesión desde un nuevo dispositivo hará que el usuario confirme que se trata de ellos a través de algún tipo de MFA. Sin embargo, no estoy seguro de qué usar para determinar si un nuevo d...
pregunta 02.04.2017 - 01:21
1
respuesta

alcance PCI al ingresar los detalles de la tarjeta en el navegador

Supongamos que tengo un sitio web de comercio electrónico, alojado en Azure (o AWS). Usaré una pasarela de pago de terceros que esté totalmente certificada como PCI nivel 1. Toda la comunicación se realiza con TLS 1.1 o superior. Escenario A...
pregunta 28.03.2017 - 10:12
1
respuesta

¿Cuáles son los riesgos de seguridad de los escáneres de huellas digitales USB en Windows 10?

Hola, tengo un portátil Lenovo cifrado con Bitlocker, con el que también utilizo un escáner de huellas dactilares. Tenga en cuenta que no estoy trabajando con información súper segura, más del nivel que tendría un desarrollador / gerente para un...
pregunta 27.03.2017 - 18:44
1
respuesta

¿Debemos confirmar otros datos personales antes de las preguntas de seguridad durante el restablecimiento de la contraseña?

Me han asignado la tarea de trabajar en una herramienta de restablecimiento de contraseña para el sitio web de mi empresa. Esta herramienta es para que una persona de soporte proporcione una nueva contraseña de restablecimiento por teléfono en c...
pregunta 05.04.2017 - 22:29