Todas las preguntas

2
respuestas

¿El KDC de Kerberos conoce las contraseñas de texto simple de los usuarios?

En enlace sección 15.7.8.3 "El KDC es un único punto de falla" que puede leer :    Por diseño, el KDC debe ser tan seguro como la base de datos de contraseña maestra que contiene. El KDC no debe tener absolutamente ningún otro servicio en e...
pregunta 08.06.2012 - 21:29
5
respuestas

Ocultar la versión: ¿valiosa o simplemente segura por la oscuridad?

Muchos analizadores de seguridad automáticos han incorporado reglas que alertan sobre la presencia de una versión de software, y en muchas listas de seguridad, la exposición a una persona arbitraria que accede al sistema se menciona como uno de...
pregunta 07.05.2012 - 23:50
2
respuestas

¿Cuáles son las diferencias entre las claves generadas por ssh (ssh-keygen) y las claves OpenSSL (PEM) y qué es más seguro para el inicio de sesión remoto de ssh?

Aprendí que existen 2 métodos para hacer que el inicio de sesión remoto de SSH sea más fácil y seguro, son: claves generadas por ssh (usando ssh-keygen) OpenSSH Keys Las claves PEM (.pem) generalmente generadas con OpenSSL (Amazon Web...
pregunta 29.01.2013 - 14:21
2
respuestas

Si envío un correo electrónico a través de SSL, ¿siempre se transmitirá a través de SSL?

Esto es en gran parte una cuestión de cómo se comunican los MTA y los diferentes componentes. Tengo curiosidad de que si envío un correo electrónico utilizando SMTP a través de SSL a mi MTA, ¿será el próximo salto al siguiente MTA o MDA ser i...
pregunta 23.02.2012 - 19:04
2
respuestas

Cualquier ventaja para asegurar WiFi con un PSK, que no sea para mantenerse al margen sin autorización

Como entiendo WiFi con un PSK, como WPA (2) -PSK o WEP, cualquier persona en la misma red puede descifrar paquetes de otros porque todos tienen la misma clave. En este caso, si no va a implementar TKIP y desea tener una red libre y abierta, ¿...
pregunta 08.06.2011 - 16:07
4
respuestas

Fugas importantes de contraseñas en la industria que utilizan HMAC con sal pero sin, por ejemplo, PBKDF2, scrypt

Estoy tratando de convencer a los ejecutivos de un proyecto para que usen una función de fortalecimiento iterativo para asegurar el almacenamiento de contraseñas para un nuevo sistema. La propuesta actual almacenaría algo así como un HMAC de un...
pregunta 12.10.2015 - 14:37
5
respuestas

Inyección de Javascript del operador de telefonía móvil

Parece que T-Mobile en el Reino Unido está inyectando un archivo javascript en el encabezado de los archivos que se transfieren a través de su red de datos móviles. El archivo en cuestión es 1.2.3.8/bmi-int-js/bmi.js (contenido a continuación...
pregunta 01.12.2011 - 21:48
2
respuestas

CSRF con JSON POST cuando Content-Type debe ser application / json

Estoy probando una aplicación web para la cual se realizan acciones comerciales mediante el envío de solicitudes JSON como por ejemplo: POST /dataRequest HTTP/1.1 Host: test.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/2...
pregunta 01.10.2017 - 16:53
2
respuestas

¿Cómo leer el archivo key3.db?

El archivo key3.db contiene la clave que se usa para cifrar las contraseñas de Firefox almacenadas en el archivo logins.json . No uso la contraseña maestra en Firefox, pero de acuerdo con En este artículo , mis contraseñas están...
pregunta 28.12.2015 - 13:40
2
respuestas

¿Técnicas de bypass de filtro de recorrido transversal?

Tengo un sistema integrado basado en Linux con interfaz web para fines de gestión. Según un documento de seguridad , este servidor web tiene un filtro rudimentario contra los ataques de desplazamiento de directorios en los parámetros de URL. Po...
pregunta 13.08.2015 - 15:00