Todas las preguntas

3
respuestas

¿Es posible falsificar una solicitud de publicación?

Considere la siguiente URL http://mysite.com/form?date=x . Supongamos que si x tiene un formato incorrecto, se devuelve una página con <p>x is not a valid date</p> , donde el autor de la página ha olvidado escapar...
pregunta 13.10.2011 - 04:58
3
respuestas

¿Está bien enviar una contraseña de texto sin formato a través de HTTPS? [duplicar]

Entiendo por qué la contraseña debe incluirse en sal y hash antes de guardarla en la base de datos, pero mi pregunta es si la hash en el navegador o si solo se envía una contraseña de texto simple a través de HTTPS es seguro. Si está bien,...
pregunta 12.01.2016 - 20:56
3
respuestas

Uso de "contraseña con contador" de registro

Cuando se le pide que actualice sus contraseñas después de que se hayan quedado obsoletas (ya sea después de 30, 60, 90 días, lo que sea implementado por la política), muchos usuarios simplemente incrementan el número que pueden haberse visto ob...
pregunta 07.05.2014 - 15:07
4
respuestas

Problemas de copyright con algoritmos de cifrado

Estoy desarrollando una aplicación para Android / Java. La aplicación es un tipo de administrador de contraseñas, así que estoy almacenando contraseñas cifradas bajo el capó de la contraseña maestra. Hay varios algoritmos de cifrado DES / AES /...
pregunta 22.12.2010 - 06:25
4
respuestas

Escenario de hombre en el medio para TLS

Considere el siguiente escenario: desea comunicarse de forma segura con a.com y solo confía en el certificado raíz de VeriSign. a.com presenta un certificado firmado por VeriSign con CN = a.com, por lo que confía en que se está comunicando co...
pregunta 03.04.2013 - 01:01
3
respuestas

¿El conjunto de datos cifrado AES completo tiene que estar presente para ser "crackeado"?

Estoy implementando un algoritmo AES 256 en tarjetas de crédito y me pregunto si fortalecería o debilitaría el conjunto de datos cifrado si dividiera el conjunto de datos y lo persistiera en dos ubicaciones. No entiendo el algoritmo AES lo sufic...
pregunta 19.12.2014 - 15:53
3
respuestas

Encontré los detalles de mi usuario en una lista de información de cuenta ya antigua y filtrada

Encontré una lista de información de cuentas antiguas (> 3 años) que se ha filtrado a la web. La lista incluía miles (> 10.000) de detalles de cuenta de un servicio o servicios. Aparentemente, el evento fue una noticia a pequeña escala en...
pregunta 28.07.2015 - 07:22
7
respuestas

¿Es posible mantener algo invisible para el administrador del servidor?

Consideremos el siguiente escenario, una empresa de inversión ejecuta un grupo de computadoras (usando red hat como os), algunos cálculos que involucran el secreto comercial de alguna compañía se ejecutarán en él, hay una SA que es responsable d...
pregunta 06.09.2015 - 15:11
2
respuestas

¿Muestran estas expresiones regulares que fui hackeado?

¿Qué significan estos comandos regex ? Los encontré cuando ejecuté el comando de historial: grep --include=\*.php -rnw . -e "update.creditcard" grep --include=\*.php -rnw . -e "e41e" grep --include=\*.php -rnw . -e "nobugs.com" grep --in...
pregunta 27.07.2015 - 10:11
4
respuestas

Protegiéndose contra los ataques de DOS

Nuestro sitio actual es fácilmente DOS'd. Puedo realizar una prueba AB contra ella desde Apache y desaparece durante unos 5-10 minutos. Hemos estado teniendo problemas con otros DOS en el sitio, hasta el punto en el que tuvimos que apagarlo dura...
pregunta 17.02.2012 - 17:17