Todas las preguntas

2
respuestas

¿El cifrado de una tarjeta inteligente o simplemente proporciona un certificado privado?

Realmente no entiendo cómo funcionan las tarjetas inteligentes. ¿Firman o se cifran ellos mismos (donde la computadora le proporciona los datos para firmar) o proporcionan una computadora con el certificado privado cuando ingreso mi PIN?     
pregunta 22.09.2014 - 18:37
1
respuesta

extrayendo JSESSIONID de document.cookie

Estaba intentando robar cookies en una aplicación web basada en java y spring. Normalmente, una cookie se puede obtener a través de <script>alert(document.cookie)</script> , pero en el código anterior, la cookie no se alerta....
pregunta 20.10.2014 - 12:15
1
respuesta

Compartir la clave pública RSA para descifrar JWT entre servidores de carga equilibrada

Estoy intentando implementar un mecanismo de autenticación sin cookies para una API web que no tiene estado en el servidor (no almacena tokens de sesión) y se puede equilibrar la carga en varios servidores. He implementado un JWT que se devue...
pregunta 13.10.2014 - 19:27
1
respuesta

¿Qué configuraciones de PGP se han encontrado vulnerables?

Examinando artículos, a menudo encontramos recomendaciones como "Usar el tipo / tamaño de clave predeterminado X " , mientras que un artículo escrito unos años más tarde lo escribirá "Se ha encontrado que el tipo / tamaño de clave X es vuln...
pregunta 21.09.2014 - 10:16
2
respuestas

Decodificación de bytes del túnel en EAP-TLS o EAP-TTLS usando Wireshark

Tengo algunos pcaps de tráfico para la conversación EAP-TTLS, llevados por RADIUS. También tengo algo que me lleva EAPoL, pero creo que la respuesta a ese caso podría ser incluso menos sencilla (aunque quizás no necesariamente). En ambos casos...
pregunta 17.10.2014 - 16:05
1
respuesta

Autenticación entre dos servidores internos

Tengo dos servidores internos que se comunicarán entre sí; Ellos hablan HTTPS. ¿Existe alguna práctica recomendada para autenticar las comunicaciones entre servidores internos? Sin una buena práctica, mi idea actual es que tanto el servidor c...
pregunta 11.09.2014 - 21:27
2
respuestas

XSS en JavaScript

Hace poco me di cuenta de algo en una aplicación web y encontré que la URL se refleja entre la fuente de la página, lo que la hace bastante obvia para XSS, pero la entrada de la URL que se refleja en la fuente se asigna dentro de un% etiqueta &l...
pregunta 21.09.2014 - 12:41
3
respuestas

¿Cómo se podría implementar una base de datos de contraseñas compartidas?

En el formulario tradicional, una base de datos de contraseñas es similar a cualquier otro archivo de base de datos, excepto que el contenido se cifra mediante una clave derivada de una frase de contraseña ingresada por el usuario. El usuario in...
pregunta 05.02.2015 - 03:05
1
respuesta

¿Qué intenta hacer el atacante con mi servidor?

Algunos están intentando acceder a este enlace (y otros similares) con frecuencia en mi sitio: enlace Tenga en cuenta que mi servidor no tiene una carpeta de carga dentro de él, pero permite a los usuarios cargar videos. Así que está red...
pregunta 18.10.2014 - 16:00
2
respuestas

Usar correo electrónico anónimo como correo electrónico oficial

Suponiendo que he creado un correo electrónico en hushmail a través de tor, y si lo uso como mi correo electrónico oficial en un sitio como Github. ¿Eliminará mi anonimato cuando uso github desde un navegador normal?     
pregunta 18.02.2015 - 21:43