Todas las preguntas

3
respuestas

¿Alguna falla en este modelo de seguridad para un servicio web REST?

He diseñado un servicio web REST que requiere autenticación. Maneja la autenticación de manera similar a los servicios web de Amazon, a saber: el usuario tiene un ACCESS_KEY (por ejemplo, 'abcd') y un SECRET_KEY (por ejemplo, 'aabb...
pregunta 19.09.2011 - 17:50
6
respuestas

¿Es suficiente el bloqueo de UDP y TCP para evitar la actividad de la red no deseada?

Quiero estar 100% seguro de que mi máquina solo se conecta donde y cuando lo quiero. Si utilizo un firewall que bloquea todos los paquetes UDP y TCP pero los que se me permiten pasar explícitamente, ¿puedo estar 100% seguro de que mi máquina no...
pregunta 09.11.2013 - 10:12
5
respuestas

¿Cómo detectaría si se han filtrado datos de clientes?

Soy un desarrollador web independiente muy preocupado por la seguridad (que limita con la paranoia) y pongo mucho énfasis en la seguridad con mis clientes. Lamentablemente, este no parece ser el caso para el desarrollador web promedio. Algo q...
pregunta 19.03.2013 - 16:58
1
respuesta

¿Bcrypt encima de md5 reduce su seguridad?

Un proyecto de GitHub que verifiqué recientemente tiene una seguridad defectuosa, ya que están usando un md5 () sin sal para cifrar las contraseñas. Abrí un error y lo reconocieron. Sin embargo, la transición de md5 () a bcrypt significaría que...
pregunta 22.11.2013 - 12:16
1
respuesta

Correo electrónico de seguridad SSL?

Uso IMAP y solo accedo a mi correo electrónico a través de SSL. Sin embargo, la configuración para el acceso de correo electrónico cifrado parece un poco más complicada que https. ¿Alguien puede explicar las implicaciones de seguridad de las...
pregunta 03.10.2011 - 08:21
3
respuestas

Bloquea el acceso de todas las direcciones de BotNets y TOR a nuestro sitio

He escuchado que se producen muchos ataques de DOS e intentos generales de "piratería negra" en la red TOR. ¿Puedo bloquear dinámicamente las IP de origen por su presencia en una BotNet o una lista similar ? ¿Qué tan efectivo sería esto pa...
pregunta 16.03.2012 - 14:17
3
respuestas

PCI DSS requisito 6.4.2 separación de tareas entre los entornos de desarrollo / prueba

6.4.2 ¿Hay separación de tareas entre el personal asignado a los entornos de desarrollo / prueba y los asignados al entorno de producción? ¿Qué significa la separación de deberes aquí? ¿Es en el sentido de enlace o algo más? La formulació...
pregunta 22.03.2012 - 10:10
4
respuestas

El proxy SSL de Blue Coat del hombre en el medio o ¿qué?

Acabo de descubrir que mi lugar de trabajo ha habilitado algunas funciones nuevas en el proxy de red de Blue Coat. Parece que todos los certificados HTTPS en Chrome en Windows están siendo emitidos por este servidor interno. Bajo la conexión, so...
pregunta 08.04.2013 - 18:05
2
respuestas

¿Es un riesgo de seguridad recordar a los usuarios los requisitos de contraseña al iniciar sesión?

Regularmente me encuentro intentando acceder a sitios web donde no recuerdo la contraseña que uso. Hago algunas conjeturas sobre lo que podría haber usado, pero por lo general termino teniendo que restablecerlo. Una cosa que me facilitaría el...
pregunta 17.01.2012 - 14:04
3
respuestas

Restablecer contraseña: ¿debo evitar el abuso?

Mi suposición es que restablecer la contraseña es solo un problema de seguridad si un atacante obtuvo acceso al correo electrónico del usuario. Pero me preguntaba qué pasaría si alguien simplemente abusa de él (por ejemplo, envía una solicitu...
pregunta 21.11.2012 - 00:44