Todas las preguntas

2
respuestas

¿Por qué rfc6797 dice "Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP sobre el transporte no seguro".

¿Por qué el RFC prohíbe que el servidor envíe HSTS al cliente a través de HTTP? Puedo ver que si un cliente HTTP responde a esa respuesta HTTP no segura, podría hacer que el sitio sea inaccesible para el cliente, pero no veo ninguna razón pa...
pregunta 27.03.2015 - 13:41
4
respuestas

¿Se puede confiar en una CA intermedia como una CA raíz autofirmada?

¿Es posible dentro de los límites de la especificación X.509 marcar una CA intermedia como confiable para un propósito específico, por ejemplo? para verificar una clave de servidor VPN, HTTPS, etc., como si funcionara con una CA raíz. Todos m...
pregunta 19.07.2012 - 14:10
1
respuesta

¿Se pueden rastrear las VPN sin sesión?

Las VPN sin sesión, como ExpressVPN, afirman que no pueden decirle a las autoridades su IP real, incluso si se les pregunta. Ellos afirman:    No hay registros de conexión. Nunca registra las marcas de tiempo de conexión, la duración de la se...
pregunta 09.12.2017 - 23:57
5
respuestas

¿Cómo deben almacenarse las contraseñas si deben ser recuperables?

Al "cifrar" las contraseñas está violando CWE-257 : Almacenar contraseñas en un formato recuperable. Pero esto es exactamente lo que quiere el gobierno francés . Quieren poder obtener las contraseñas de cualquier usuario. En general, esto es m...
pregunta 10.04.2011 - 03:06
3
respuestas

ISO27001 y Linux / Ubuntu

Mi empresa tiene una certificación ISO 27001 . Me proporcionaron una nueva computadora portátil con sistema operativo Windows 8. Pregunté si puedo tener instalado un sistema operativo Linux / Ubuntu, dijeron que no es posible debido a la ISO 2...
pregunta 03.07.2015 - 09:40
3
respuestas

¿Cómo convencer a mi administración de un riesgo de seguridad física?

Aunque no pretendo ser un experto en todo lo relacionado con la seguridad, creo que tengo un buen conocimiento de lo que es aceptable y lo que no se refiere a la seguridad digital. Después de proporcionar algunos consejos generales sobre la s...
pregunta 01.04.2015 - 08:46
1
respuesta

Chrome 50: ¿Dónde puedo ver el paquete de cifrado negociado?

Esto se trata de Chrome 50. Al visitar un sitio https, ¿dónde puedo encontrar el paquete de cifrado negociado? Sé dónde encontrar esta información en versiones anteriores de Chrome, pero no puedo encontrarla en la versión actual (50.0.2661.75)....
pregunta 17.04.2016 - 22:45
4
respuestas

Elimine RC4 de los cifrados SSL / TLS en Chromium

Recientemente comencé a vivir sin RC4 en mi sesión de Firefox. La discusión al respecto se puede encontrar aquí . Si bien es bastante fácil en Firefox (ingrese about:config y luego rc4 ), no encontré la posibilidad de hacer esto en Chro...
pregunta 06.07.2013 - 00:12
2
respuestas

cadena de ataque PHP en los registros de acceso

Por lo tanto, una de las instalaciones de Invision Power Board en mi servidor se vio comprometida recientemente. Encontré lo que parecía ser el ataque (usando PHP en la cadena de consulta y las cookies cuidadosamente diseñadas), y bloqueé las ca...
pregunta 04.03.2013 - 15:20
3
respuestas

¿Es segura la autenticación basada en contraseña de Postgres?

Según la documentación de Postgres , el método de autenticación de contraseña de Postgres utiliza el hashing MD5 para asegurar el contraseña:    Los métodos de autenticación basados en contraseña son md5 y contraseña. Estas   Los métodos fun...
pregunta 22.08.2013 - 19:14