Todas las preguntas

2
respuestas

¿Cómo implementar la funcionalidad de restablecimiento de contraseña sin ser susceptible a la fuga del referer entre dominios?

Por lo general, he implementado la funcionalidad de restablecimiento de contraseña al enviar un enlace que incluye algo como esto: http://example.com/pwreset?id=userId&resetToken=superSecretResetToken En mi página pwreset...
pregunta 06.10.2014 - 19:14
1
respuesta

¿Por qué la mayoría de los servidores no usan el encabezado del Servidor HTTP, pero la mayoría de los navegadores usan el agente del Usuario? [cerrado]

He leído que el encabezado del servidor divulgaría información y que su uso sería malo. Los argumentos hechos en esa pregunta también se aplican al encabezado del agente de usuario. Entonces, ¿por qué se sigue utilizando y no es un "dummy", co...
pregunta 30.07.2014 - 21:16
2
respuestas

¿Por qué se hash de un CSR?

¿Cuáles son los casos de uso para definir algo que no sea el hash SHA1 predeterminado en un CSR? ¿Es para proteger la firma digital, las claves públicas / privadas? ¿Qué está protegiendo exactamente?     
pregunta 13.08.2014 - 05:20
2
respuestas

¿Es seguro mi servidor ssh porque uso DenyHosts y no permito acceso de root?

De ninguna manera soy un experto en seguridad en línea, por lo que quise describir los pasos que estoy tomando para permanecer lo más seguro posible y aún así hacerlo más fácil para acceder a mi sistema desde cualquier lugar (dentro de lo razona...
pregunta 10.08.2014 - 11:47
1
respuesta

¿Por qué proteger archivos con información sensible con .htacces?

Me enseñaron que un paso importante para asegurar un sitio web (principalmente con PHP) era almacenar toda la información confidencial, como la información de conexión a la base de datos, la generación de sal, etc. en un archivo (s) / Carpeta (s...
pregunta 18.11.2014 - 02:44
3
respuestas

¿Es peligroso que se pueda escribir en apache error_log?

Estaba leyendo un artículo sobre los archivos de registro y, refiriéndome al registro de errores de Apache, mencionó que los archivos de registro no deben poder ser escritos por otros usuarios. ¿Cómo puede esto ser peligroso? ¿Hay algún tipo...
pregunta 12.10.2014 - 06:55
3
respuestas

¿Dónde se almacena la clave secreta TOTP en las aplicaciones cliente?

Soy nuevo en el concepto de TOTP, pero, según tengo entendido, el secreto compartido de 16 caracteres codificado en base32 se almacena en la aplicación cliente (por ejemplo, Authy, FreeOTP). Esto significa que si elimino la aplicación, la clave...
pregunta 29.07.2014 - 15:36
1
respuesta

¿Cómo el parche Shellshock realmente evita el problema?

No puedo entender algo sobre el error de Shellshock: si estas funciones del entorno (cuya declaración comienza con " () ") se ejecutan en el inicio de la shell, ¿cómo evita el problema el parche? Todavía podemos establecer alguna func...
pregunta 26.09.2014 - 07:29
1
respuesta

¿Cuál es el trato con los certificados raíz SSL de Valicert?

¿Alguien sabe cuál es el estado del certificado raíz "Valicert Class 2 Validation Authority" o qué sucede con Valicert en general? He escuchado que ese certificado ha sido desaprobado, ya no ha sido honrado, revocado, lo que sea. Lo obtuve de Go...
pregunta 15.08.2014 - 21:11
2
respuestas

¿Se puede guardar el virus en la tarjeta SIM?

(Antes de que todo me disculpe por mi inglés) Hoy uno de mis amigos me preguntó sobre su Nokia 130 Dual SIM . Hubo un problema con el sistema de mensajes cortos. No se enviaron mensajes desde ese teléfono. Primero pensé que hay un problema con...
pregunta 12.08.2014 - 15:42