Todas las preguntas

2
respuestas

Protección de polarización RC4 con relleno en TLS

En la respuesta a mi pregunta anterior sobre las vulnerabilidades de RC4 en TLS , Thomas Pornin dio una gran respuesta, en la que dijo:    Una forma de "arreglar" RC4, que se ha sugerido muchas veces, es eliminar los primeros 256 (o 512 o 15...
pregunta 13.03.2013 - 08:37
3
respuestas

¿Cuál es una buena fuente para configuraciones de bases reforzadas?

Asistí a B-Sides en Orlando FL donde uno de los oradores mencionó un sitio que contiene configuraciones reforzadas para servicios populares como apache y postfix. El autor de estas configuraciones es anónimo y aunque no dice ser un experto, la m...
pregunta 30.05.2014 - 15:59
3
respuestas

¿Puede un atacante "simular" una dirección IP privada?

Tengo un servidor SSH con una regla que no permite conexiones de contraseña fuera de la red local. Por lo tanto, las personas que ya están en la red local, ya sea físicamente o por VPN, pueden conectarse con contraseñas, pero las conexiones d...
pregunta 27.06.2015 - 07:09
3
respuestas

¿Se debe borrar el campo de la contraseña después de un intento de inicio de sesión fallido?

Asumamos el siguiente flujo de trabajo para iniciar sesión a) En un dispositivo con teclado: escribo mi nombre de usuario y contraseña presiona enter [realización] hice un error tipográfico El campo de contraseña se borra: no es...
pregunta 11.07.2013 - 10:41
4
respuestas

¿Puede un empleador acceder a los mensajes de Whatsapp si está usando sus servidores?

¿Alguien sabe si un empleador puede acceder a los mensajes de Whatsapp si está usando sus servidores? Whatsapp aparentemente dice que los mensajes están encriptados, pero no estoy seguro de esto.     
pregunta 12.01.2013 - 00:55
2
respuestas

Asegurando una API REST: ¿api_secret está firmando y es suficiente con SSL?

para asegurar una API RESTful pensé en el siguiente procedimiento de autenticación para cada llamada: Todos los datos están cifrados con SSL Cada solicitud HTTP realizada por el cliente tendrá una firma como sha512(keysort(POSTDATA.push...
pregunta 13.08.2012 - 12:30
3
respuestas

¿Se necesita DKIM para los correos electrónicos cifrados con OpenPGP?

DKIM parece probar que un mensaje vino de donde dice ser. Sin embargo, OpenPGP cifra todo el correo electrónico y lo firma, lo que obviamente prueba que también proviene de la persona que dice que lo hizo. Además de los sistemas simples que p...
pregunta 25.10.2012 - 20:14
3
respuestas

¿Hay alguna razón concebible para evitar un cambio de contraseña en un sistema de autenticación?

Me conecto a la VPN de otra compañía con un nombre de usuario y contraseña específicos de la compañía (no les están dando a todos la misma contraseña para que todas las compañías accedan a ella o algo tan ridículo como eso). Después de que uno d...
pregunta 27.10.2011 - 18:07
4
respuestas

¿Puede alguien lanzar un ataque DOS en mi IP?

Supongamos que tengo una IP estática en mi PC y que otros la conocen. Ninguno de mis softwares escucha la conexión remota. ¿Sigue siendo posible que alguien DOS me ataque en tales casos? Si es así, ¿cómo es posible?     
pregunta 24.04.2014 - 18:56
2
respuestas

Conjuntos de cifrado recomendados para TLS 1.0, 1.1 y 1.2

Hay muchas suites de cifrado definidas en las especificaciones de TLS 1.0, 1.1 y 1.2. Y además, existen RFC que agregan aún más conjuntos de cifrado a una versión específica (por ejemplo, RFC 4492 para ECC o RFC 4132 para Camelia). ¿Existe un...
pregunta 06.02.2012 - 19:52