Todas las preguntas

10
respuestas

suplantación de solicitudes POST / GET en un servicio RESTful

Comencé a trabajar en una aplicación que se conecta a un servicio RESTful para autenticación y datos. El usuario envía el nombre de usuario y la contraseña a / token endpoint. Una vez que inician sesión correctamente, obtienen un token de portad...
pregunta 13.11.2017 - 15:40
7
respuestas

Lista blanca de elementos DOM para derrotar a XSS

Como sabemos, los desarrolladores son responsables de escapar / validar correctamente los datos proporcionados por el usuario antes de procesarlos o almacenarlos. Sin embargo, debemos estar de acuerdo en que es relativamente fácil olvidar una en...
pregunta 20.12.2010 - 11:13
1
respuesta

Derivación de claves de envío y recepción de MPPE de MS-CHAPv2

Estoy intentando obtener la clave de envío MS-MPPE y la clave de recuperación MS-MPPE del material de desafío MS-CHAPv2. Puedo seguir las RFC 2548 3078 y 3079 al paso de obtener el GetNewKeyFromSHA() que es 16 bytes de largo. Pued...
pregunta 10.05.2013 - 07:17
9
respuestas

¿Por qué nos autenticamos solicitando a un usuario que ingrese el nombre de usuario y la contraseña? ¿Es suficiente pedir la contraseña?

No sé por qué nos autenticamos solicitando al usuario que ingrese el nombre de usuario y la contraseña. En mi modelo mental, solo me basta con una contraseña. El motivo es el siguiente: Supongamos que hay x caracteres válidos para usar....
pregunta 04.03.2011 - 14:33
6
respuestas

¿Es un problema de seguridad permitir direcciones de correo electrónico casi idénticas al registrarse?

Supongamos que tiene un sitio web donde es posible crear cuentas para todas las siguientes direcciones de correo electrónico: '[email protected]' '[email protected] ' '[email protected];' '[email protected];[email protected]' ¿Debería considerarse esto como u...
pregunta 27.01.2016 - 20:00
8
respuestas

Aleatorizar direcciones MAC en el arranque

Dado que es posible configurar direcciones MAC personalizadas, ¿no tendría sentido tener una nueva tan a menudo como sea posible / conveniente (es decir, en el arranque)? Parece que es útil tanto para el atacante como para la víctima (más dif...
pregunta 06.09.2011 - 03:04
4
respuestas

El acceso a múltiples sitios a través de HTTPS produce contenido diferente y no relacionado (Peugeot club a través de HTTPS)

Me he encontrado con un sitio web aleatorio Moodoo.cz . Lo interesante es que si accede a él a través de HTTPS: Moodoo.cz , el contenido cambia por completo. No es tan inusual: supongo que el servidor puede servir contenido diferente para dife...
pregunta 06.03.2018 - 11:22
6
respuestas

¿Es una mala idea poner cada nombre de usuario y contraseña de nuestra organización en una hoja de cálculo gigante de Google?

Nuestro inicio tiene algo así como 100 nombres de usuario y contraseñas para realizar un seguimiento, y no podemos hacer un seguimiento de todos ellos. ¿Sería una mala idea ponerlos a todos en una hoja de cálculo de Google compartida entre nosot...
pregunta 24.12.2011 - 18:12
6
respuestas

¿Es imposible el cifrado (seguro) sobre la línea comprometida?

Me doy cuenta de que algo como esto sería el santo grial de la seguridad de las comunicaciones y nunca he oído nada que sugiera que se haya hecho. Me estoy preguntando. Muchos matemáticos e informáticos dedican tiempo a hacer pruebas para sit...
pregunta 21.07.2015 - 01:32
5
respuestas

verificación SMS, ¿es seguro? [duplicar]

En mi aplicación web (todo funciona con HTTPS), le envío un SMS con un código único de 5 dígitos a un número de teléfono que proporciona. Luego le pido al usuario que ingrese en el navegador el código que recibió. Aparte de la pura suerte de a...
pregunta 07.11.2016 - 18:21