Todas las preguntas

2
respuestas

¿Está creando una aplicación web con entradas de base de datos MySQL cifradas?

Tengo algo de experiencia en la creación de sitios web basados en PHP con acceso a MySQL, el almacenamiento de datos cifrados del usuario, pero todos los demás campos son texto sin formato. Mi proyecto más reciente requerirá que se almacenen dat...
pregunta 16.07.2013 - 13:40
1
respuesta

Herramienta de ataque de huella digital ssh

Noté un gran volumen de intentos de contraseña SSH en mi servidor e instalé el Cowrie honeypot para ver qué harían los atacantes si realmente tuvieran acceso. He identificado patrones consistentes en muchos ataques que creo que están automati...
pregunta 23.11.2016 - 05:38
1
respuesta

¿En qué situaciones puede element.setAttribute permitir XSS?

Burp ha identificado una vulnerabilidad potencial de DOM XSS:    La aplicación puede ser vulnerable a los scripts entre sitios basados en DOM. Los datos se leen desde window.location.href y se pasan a la función 'setAttribute ()' de un elemen...
pregunta 14.10.2016 - 09:30
2
respuestas

Identidad electrónica y firmas digitales: ¿por qué son diferentes?

Parece (al menos para mí) que es generalmente aceptado que "identidad electrónica" y "firmas digitales" son una cosa diferente. Por ejemplo, en la tarjeta de identificación de Estonia hay dos certificados: uno para la identidad y otro para la fi...
pregunta 14.07.2015 - 18:55
1
respuesta

¿Hay otras formas de cifrar archivos que no sean TrueCrypt y BitLocker [cerrado]

No confío en BitLocker. Probablemente es de puerta trasera y se basa en TPM, que puede ser hackeado de acuerdo con DEFON. Tampoco permite particiones ocultas u otras ventajas como TrueCrypt. Con TrueCrypt y el estado en el que se encuentra, ¿...
pregunta 29.05.2014 - 02:25
1
respuesta

¿Cómo deben los proveedores de recursos validar los tokens OAuth2?

Los proveedores de recursos a menudo proporcionan acceso de lectura y escritura a los recursos. Por lo tanto, un proveedor de recursos no solo debe validar el token (¿está vencido? ¿está revocado? ¿es válido? ¿contiene el alcance requerido?),...
pregunta 29.12.2015 - 13:07
1
respuesta

¿Qué es un rompecabezas criptográfico?

En la página de wikipedia en TCP bajo Denial of Service se encuentra el siguiente párrafo:    Usando una dirección IP falsificada y enviando repetidamente a propósito   paquetes SYN ensamblados, los atacantes pueden hacer que el servidor co...
pregunta 10.08.2012 - 08:39
3
respuestas

Evitar los ataques de Wifi

Leí que las tarjetas de red Wifi cuando están desconectadas envían constantemente sondas para comprobar si hay algún AP conocido. Esto significa que un pirata informático podría capturar esas sondas y simular una de las redes solicitadas y fi...
pregunta 12.02.2017 - 17:37
2
respuestas

Reanudación de sesión SSL e ID

Algunos sitios, como se ve en el informe para www.mbank.com.pl [ssllabs.com] o report for aliorbank.pl [ssllabs.com] no admite "Reanudación de sesión", ya sea porque los ID están asignados pero no son aceptados (primer caso) o porque los ID...
pregunta 20.07.2011 - 21:22
3
respuestas

AES utilizando claves / IV derivadas. ¿Introduce una debilidad?

Estoy buscando una forma eficiente de cifrar múltiples campos en una base de datos con AES usando una sola clave global, utilizada en una gran aplicación web. Obviamente, para reutilizar esta clave, se requiere un IV aleatorio único para cada...
pregunta 13.11.2012 - 14:41