Todas las preguntas

1
respuesta

Significado del tiempo de espera de la sesión TLS

En openssl, el tiempo de espera predeterminado de la sesión se establece en 300 segundos. Pero, ¿qué significa esto realmente? ¿Qué sucede si se reanuda una sesión antes de que terminen los 300 segundos? ¿Se reinicia de nuevo este temporizado...
pregunta 30.03.2018 - 11:54
1
respuesta

Desde un archivo PCAP, ¿determinar si la dirección ha sido falsificada?

Al leer sobre la herramienta hPing, es posible falsificar una dirección interna, en el lado de la detección de esto, ¿cómo se podría hacer para detectar esto? ¿hay señales de tell-tail? EDITAR: pensando en ello, podría usar la dirección MAC d...
pregunta 27.02.2018 - 14:28
2
respuestas

ataques DDoS en SSL / TLS [duplicado]

Al recibir un mensaje ClientHello , la mayoría de las veces un servidor web (y sin autenticar al cliente) realiza una operación modular exponencial diferencial de hellie para calcular y guardar el f = g^a mod p que se comunicarí...
pregunta 27.07.2017 - 08:49
1
respuesta

certificado revocado que no se muestra revocado en Chrome 64.0.3282.186

Hasta donde puedo decir (ssllabs.com / ssldecoder.org) el certificado para www.sarahah.com ha sido revocado: Serial C1:18:2F:1A:91:A9:0E:03 CRL - Revoked on CRL: http://crl.godaddy.com/gdig2s1-792.crl Revocation date: Mar 1 18:19:00 2018 GMT...
pregunta 04.03.2018 - 15:47
1
respuesta

OpenID Connect, OAuth2 y cuentas eliminadas

Si uso OpenID Connect u OAuth2 para la autenticación, y un cliente borra su cuenta del proveedor de OAuth2 (Facebook), ¿cómo puedo asociar de manera segura una nueva autenticación con un proveedor de OAuth2 diferente a la cuenta anterior para qu...
pregunta 29.03.2018 - 12:43
2
respuestas

Cómo abordar el compromiso de la base de datos de la aplicación

Hace poco me encontré con un escenario en una evaluación sobre la seguridad de TI. Soy nuevo en esta área y mi conocimiento es limitado, por lo que no estoy seguro de si mi respuesta al escenario es adecuada o no. Realmente apreciaré si alguien...
pregunta 26.08.2017 - 08:55
1
respuesta

¿Es cierto que los teléfonos inteligentes podrían verse comprometidos a través de su chip de banda base?

Leí sobre este aquí . Si entiendo esto correctamente, indica que un teléfono inteligente podría verse comprometido a través de su chip de banda base y su firmware (potencialmente) inseguro y de código cerrado. También leí esta discusión...
pregunta 04.08.2017 - 13:48
2
respuestas

Estándar de mejores prácticas de criptografía [cerrado]

He estado buscando algunos estándares sobre las mejores prácticas de criptografía. He encontrado algunos artículos y libros, pero ninguna norma oficial. ¿Existen estándares de mejores prácticas de criptografía?     
pregunta 07.08.2017 - 20:00
1
respuesta

¿Por qué alguien enviaría cargas de direcciones de correo electrónico a un formulario que no hace nada?

Opero un sitio web de generación de leads simple para un amigo, que consta de una sola página con un formulario HTML con un solo campo: dirección de correo electrónico. Estamos obteniendo un número inesperado de POST a la URL de acción del fo...
pregunta 28.07.2017 - 10:28
1
respuesta

solicitudes de escaneo de burp de urlencode automático

Casi todos mis falsos positivos de XSS provienen de Burp que envía cargas útiles de matriz de bytes sin procesar al servidor y obtiene la misma respuesta inyectada en DOM o lo que sea. Pero en los navegadores del mundo real las solicitudes de co...
pregunta 04.08.2017 - 09:22