Todas las preguntas

1
respuesta

Riesgo de mantener OAuth2 client_secret en la aplicación

Como ejercicio, estoy desarrollando una aplicación de escritorio con la cual los usuarios necesitan iniciar sesión en un servicio web. Un caso de uso lógico para OAuth2 diría, pero estoy empezando a dudar de su utilidad. Estoy buscando autentic...
pregunta 02.02.2015 - 10:29
1
respuesta

Identificar de forma segura a los clientes mediante la aplicación web

Tengo un servicio web S que proporciona ciertos servicios. Hay dos aplicaciones web, A1 y A2, ambas en diferentes servidores dentro de la misma VPN, en las que confío y deseo otorgar acceso a mi servicio web. +------+ HTTPS +-----+ H...
pregunta 12.02.2015 - 07:45
2
respuestas

Seguridad de url de administración de contenido

Administro un sitio web que es un "imán malo" para nuestros competidores. Estoy utilizando Incapsula CDN + WAF y tengo un proxy interno para el almacenamiento en caché. Por su naturaleza, CMS / WP consume muchos datos, he comprobado que, y e...
pregunta 08.02.2015 - 11:32
2
respuestas

Gestión de claves de servidor

Planeo poner un servidor SSH en dispositivos con microcontrolador. Habrá muchos dispositivos distribuidos en una amplia gama. La identidad del servidor se verifica con la clave del servidor. El servidor necesita almacenar la clave privada par...
pregunta 09.02.2015 - 10:32
1
respuesta

¿Cómo puedo determinar si un terminal POS viola o no los requisitos en el PCI DSS?

La empresa para la que trabajo utiliza un Equinox Optimum T4220 (número de hardware 060001) en el modo de salida. Veo dos resultados de búsqueda 1 para "T4220" listado en el sitio web de PCI SSC Aprobado Dispositivos de seguridad de transacció...
pregunta 31.01.2015 - 19:34
1
respuesta

¿Cuál es el interés del proxy web sobre el proxy transparente?

Una red en la que estoy trabajando tiene solo un proxy web (http, https) para la comunicación externa (se utiliza principalmente con fines de caché, no es compatible con listas blancas o negras). Esto requiere mucha configuración en todas las he...
pregunta 14.02.2015 - 16:02
1
respuesta

Arp Spoofing causando conexiones caídas

Hoy he tenido una conferencia basada en Arp Spoofing. Sin embargo, no puedo hacerlo funcionar. Escenario: Mi laptop - ejecutando kali Computadora portátil de destino (housemate - con permiso) - ejecutando Windows 8 Comandos ingresado...
pregunta 10.02.2015 - 14:25
1
respuesta

Descifrar TLS de un IDS

Así que estoy tratando de averiguar cuál es la carga útil del paquete fuera de una posible alerta de TLS HeartBleed de mi IDS. He leído que Wireshark puede hacerlo con algunas claves determinadas, pero no lo es en tiempo real (ish). ¿Podría pone...
pregunta 19.02.2015 - 15:33
1
respuesta

¿Es RDP susceptible al ataque BEAST?

Tengo servidores Windows 2008 R2 que están fallando en un análisis de vulnerabilidad de PCI porque tienen RDP habilitado (se debe deshabilitar). He aplicado la configuración de PCI de herramienta IISCrypto , pero tengo que dejar TLS 1.0 habi...
pregunta 16.02.2015 - 05:17
1
respuesta

Cumple con PCI Almacenamiento de datos de tarjeta de crédito en una tableta sin conexión

Tengo un cliente que funciona en áreas rurales donde no hay conexiones de teléfono o de Internet. Necesitan una forma de llevar la información de la tarjeta de crédito en el campo, traerla de vuelta a su oficina donde puedan cobrar al cliente....
pregunta 20.01.2014 - 01:30