Todas las preguntas

3
respuestas

¿Es preferible realizar el cifrado utilizando las funciones de la base de datos o el código?

Varias bases de datos con las que estoy familiarizado proporcionan funciones o módulos para el cifrado. Los ejemplos incluyen dbms_crypto para las bases de datos Oracle y incorporado funciones para MySQL. La mayoría de los lenguajes de pr...
pregunta 07.12.2012 - 10:39
3
respuestas

¿Impedir keyloggers en Linux?

¿Hay algún mecanismo en la arquitectura de escritorio de Linux para evitar los keyloggers de software malicioso? ¿Cuál sería la configuración ideal de Linux para que sea muy difícil para un atacante instalar un keylogger en el sistema de destino...
pregunta 01.05.2016 - 13:38
1
respuesta

Endurecimiento / reducción de la superficie de ataque para un contenedor Docker

Me gustaría configurar una instancia de Docker reforzada, principalmente para ejecutar microservicios como las aplicaciones de Golang compiladas estáticamente. Lo que estoy buscando es proteger el sistema operativo host de un contenedor malicios...
pregunta 29.08.2016 - 20:24
3
respuestas

¿Puede un rootkit de hipervisor habilitar la virtualización asistida por hardware cuando el BIOS la ha desactivado?

Hace poco estuve leyendo Introducción al hardware Rootkits de máquina virtual asistida (HVM) (PDF), y no estaba del todo claro acerca de las condiciones bajo las cuales el rootkit de hipervisor puede iniciar la virtualización. Si la virtualiza...
pregunta 01.06.2012 - 20:49
2
respuestas

¿Cómo evito que se use la información "sacada del registro público" de mi hermana gemela cuando trato de responder preguntas de seguridad?

En varias ocasiones en los últimos meses, se me hicieron preguntas de seguridad "extraídas del registro público" para verificar mi identidad, ya sea por teléfono o en un sitio web (Chase Bank, Walgreens Pharmacy y una compañía de tarjetas de cré...
pregunta 17.12.2012 - 04:02
2
respuestas

¿Por qué los navegadores o sistemas operativos no tienen una validación DNSSEC predeterminada?

Muchos solucionadores (incluidos los TLD y los TLD raíz) admiten DNSSEC, y también los servidores OpenDNS de Google lo admiten. Sin embargo, no está verificado en el lado del cliente de forma predeterminada. ¿Por qué es esto?     
pregunta 25.05.2016 - 23:56
4
respuestas

¿Cuál es la forma correcta de almacenar cadenas de conexión de base de datos desde el punto de vista de la seguridad?

¿Cuáles son las recomendaciones, las mejores prácticas y las tareas pendientes relacionadas con el manejo de cadenas de conexión en aplicaciones web? ¿Qué cosas nunca se deben hacer?     
pregunta 12.11.2010 - 04:49
4
respuestas

Trabajo en un proyecto de código abierto. ¿Existe un "estándar" para informar las vulnerabilidades de seguridad que podemos usar?

Trabajo en un proyecto de código abierto (intencionalmente no revelado). A mi leal saber y entender, no tenemos una política visible sobre el reporte de vulnerabilidades de seguridad. Rails tiene su propia política solicitando que las vulne...
pregunta 26.04.2013 - 03:31
2
respuestas

httpoxy: ¿TLS / SSL mitiga la vulnerabilidad del encabezado de proxy HTTP?

Hay una nueva vulnerabilidad de marca con nombre de lujo llamada HTTPOXY . Mi pregunta aquí: ¿Los sitios servidos a través de TLS también se ven afectados? ¿O es esto un problema solo para los sitios HTTP (canal de comunicación no cifrado)?...
pregunta 19.07.2016 - 07:53
2
respuestas

Ventajas e inconvenientes de darle a un administrador dos cuentas por derechos elevados y otra para uso diario, como el correo electrónico

Microsoft ha promovido durante mucho tiempo la necesidad de separar las cuentas administrativas de las cuentas de uso regular, como se muestra con esta guía MSFT incluso fue tan lejos como para crear los derechos ADMINSDUser para colocar...
pregunta 22.09.2011 - 21:25