Todas las preguntas

1
respuesta

¿Cómo debería ser el resultado de fail2ban postfix-sasl?

Quiero asegurarme de que fail2ban esté prohibiendo correctamente los intentos fallidos de inicio de sesión de SASL postfix. Cuando hago iptables -L puedo ver la lista de hosts prohibidos para SSHD, pero no puedo encontrar una manera de...
pregunta 31.08.2017 - 20:41
1
respuesta

¿Pueden ocurrir inicios de sesión de Internet desde el rango de direcciones IPv4 privadas (10.x.x.x)?

Estoy viendo muchos inicios de sesión en mi cuenta OpenID de Stack Exchange desde las direcciones IP privadas 10.7.2.16 y 10.8.2.15. Otra de mis cuentas dice que se conectó desde 10.80.0.144. Tenía la impresión de que el acceso a las páginas web...
pregunta 20.09.2017 - 23:06
1
respuesta

Comparta una clave pública desde una aplicación para verificar la autenticidad de los datos enviados

Soy bastante nuevo en temas de seguridad de la información y estoy buscando orientación para implementar la transmisión segura de datos estadísticos de una aplicación a un servidor. Además, no quiero ningún conocimiento sobre los datos almacenad...
pregunta 08.09.2017 - 15:34
1
respuesta

¿Cómo obtener un poco pegajoso como ACL pero solo para usuarios específicos de Linux?

El conjunto de bits de Sticky para un directorio es un medio para "Eliminación restringida", de acuerdo con el manual:    Para los directorios, evita que los usuarios sin privilegios eliminen o cambien el nombre de un archivo en el directorio...
pregunta 07.09.2017 - 06:40
1
respuesta

Reemplazo de la pantalla de nombre de usuario y contraseña con una pantalla de código PIN para facilitar el acceso móvil

Tengo una aplicación móvil de Android que actualmente solicita al usuario un nombre de usuario y una contraseña para iniciar sesión. Por razones de seguridad, el token de sesión caduca en 2 horas, por lo que debe solicitar el nombre de usuario y...
pregunta 06.09.2017 - 09:59
2
respuestas

flujo de trabajo de protección JWT y CSRF

Tengo un esquema de autenticación y autorización personalizado basado en tres tokens JWT: token de referencia (opaco), token de acceso y token de actualización. El backend establece el token de referencia en una cookie y lo envía con cada solici...
pregunta 29.08.2017 - 10:50
1
respuesta

Este sitio web afirma que la contraseña + cookie cuenta como 2FA

Me conecto a un sitio web y proporciono un ID de usuario, contraseña y PIN de una sola vez entregados por correo electrónico o SMS. También selecciono la casilla de verificación "Registrar dispositivo" para registrar mi escritorio. En un inic...
pregunta 20.09.2017 - 01:47
2
respuestas

¿Comprobar un token sin verificar un encabezado es suficiente para la protección CSRF?

En sus pautas para asegurar su aplicación contra ataques CSRF, OWASP recomienda dos ataques separados cheques: 1. Check standard headers to verify the request is same origin 2. AND Check CSRF token Esta pregunta pregunta si Basta con co...
pregunta 20.09.2017 - 18:17
1
respuesta

¿Qué requisitos de seguridad debe implementar una VPN L2L para proteger un extremo del otro?

Me gustaría crear una VPN L2L entre dos organizaciones. Debido a la hifotesis de que WannaCry se propagó en gran parte mediante este tipo de conexiones, me gustaría implementar medidas de seguridad para proteger un extremo del otro. ¿Qué requ...
pregunta 09.09.2017 - 09:39
1
respuesta

Valor de DNSSEC con opción de permitir degradar

¿La configuración de DNSSEC en el cliente (resuelto por el sistema) con la opción allow-downgrade tiene algún valor? ¿Mejora la seguridad en absoluto?     
pregunta 01.09.2017 - 22:32