Todas las preguntas

3
respuestas

¿Es segura la transmisión de un mensaje firmado con 'ssh-agent' como contraseña?

Hay un sistema de archivos encriptado en un servidor que ssh usa para usar la autenticación de clave pública. Dado que un reenviado ssh-agent puede firmar un mensaje de manera determinista (vea también ssh-agent protocol sección 2.6.2...
pregunta 26.10.2012 - 15:39
3
respuestas

Alguien registró un nombre de dominio con la IP de mi VPS [duplicado]

Hace unos meses alquilé un servidor VPS para ejecutar mi sitio web. Hoy, miré /var/log/apache2/access.log y noté una línea extraña: 192.0.2.123 - - [02/Aug/2015:05:21:29 -0400] "GET / HTTP/1.1" 200 4043 "http://buttons-for-website.com...
pregunta 04.08.2015 - 15:05
3
respuestas

Popularidad de IDSes basadas en anomalías

He estado leyendo bastante tiempo sobre IDSes basados en anomalías / comportamiento para servidores web. Entiendo las desventajas: posibles falsos positivos, fase de aprendizaje, capacitación constante. Mi pregunta es ¿qué tan populares so...
pregunta 02.12.2010 - 15:01
2
respuestas

¿Puede alguien explicar cómo sshd hace la separación de privilegios?

Estoy confundido acerca de cómo sshd descarta privs para conexiones entrantes. Encontré esta página que fue muy informativa en un nivel alto: enlace Pero no entiendo cómo el hijo de sshd privilegiado no tiene privilegios. En mi depura...
pregunta 27.02.2016 - 06:08
2
respuestas

Almacenar datos de usuario encriptados en la base de datos

Tengo una aplicación web que tiene el siguiente caso de uso: El usuario crea una cuenta con nombre de usuario y contraseña: la contraseña con hash se almacena en la base de datos. El usuario inicia sesión (persiste durante las sesiones): e...
pregunta 14.04.2017 - 23:56
1
respuesta

¿Puede HSTS bloquear el acceso a su sitio cuando renueva su certificado SSL?

Estoy pensando en usar HSTS en mis sitios, pero no entiendo si necesito sincronizar la sincronización de HSTS con la hora en que se renovará o no el certificado. ¿Puedo usar de forma segura un tiempo estático para HSTS? Me gustaría enviar sie...
pregunta 27.05.2016 - 17:51
1
respuesta

¿Qué hacer cuando Google desactiva SSLv3 y RC4?

He leído este artículo del Blog de seguridad en línea de Google, y dice que Google deshabilitará el soporte para SSLv3 y RC4. Aquí está la razón:    SSLv3 ha estado obsoleto por más de 16 años y está tan lleno de   Problemas que el IETF...
pregunta 19.09.2015 - 16:12
4
respuestas

¿Cómo puedo proteger mi tarjeta de crédito en sitios donde 2FA no es una opción?

Estoy usando Visa Express, y algunas veces cuando estoy de compras, la tienda no es compatible con Verified by Visa, lo que significa que no hay una opción 2FA. Normalmente, cuando hay esa opción, me obligará a ingresar mi número de teléfono...
pregunta 05.06.2016 - 10:37
2
respuestas

¿Existe algún método recomendado para "actualizar" los hashes MD5 a algo seguro? [duplicar]

Actualmente estoy tratando con un par de cuentas de usuario que contienen contraseñas de hash MD5. Estas cuentas se migraron de un sistema antiguo a nuestro sistema actual que utiliza PBKDF2 para el hashing de contraseñas. Me gustaría levantar...
pregunta 17.06.2016 - 07:57
2
respuestas

¿Está migrando la contraseña db fuera de MD5 encadenando MD5 y Bcrypt?

Actualmente tengo un sistema heredado que almacena contraseñas MD5 sin sal. Desafortunadamente, algunos otros controles no están implementados (como la capacidad de caducar contraseñas) y estoy tratando de actualizar mi algoritmo a algo más nuev...
pregunta 06.04.2016 - 17:48