Todas las preguntas

3
respuestas

¿El protocolo Axolotl Ratchet sería adecuado para cifrar la comunicación por correo electrónico?

Axolotl Ratchet es usado por el Signal (anteriormente conocido como TextSecure) y una versión mejorada de OTR de una manera para hacerlo adecuado para aplicaciones móviles, que tiene la probabilidad de cifrar mensajes sin que ambas partes...
pregunta 05.03.2015 - 08:49
1
respuesta

Desde la perspectiva del flujo de credenciales, ¿cuál es la diferencia entre FIDO UAF y FIDO 2.0 Web Services?

El Estándar FIDO permite que los dispositivos y esquemas de autenticación estén certificados como UAF o U2F. Esto permite una flexibilidad flexible y unificada autenticación, e inscripción y registro opcional de segundo factor. Implementaci...
pregunta 31.05.2016 - 14:37
1
respuesta

Uso de ECC para PGP-Master Key en combinación con Yubikey

Adquirí un Yubikey Neo el mes pasado. Ahora quiero usar la funcionalidad de tarjeta inteligente para PGP. Seguí las guías oficiales en el sitio web de Yubico lo probé con 2048 RSA Keys y funcionó bien. Pero si perdiera la clave tendría un prob...
pregunta 11.08.2015 - 08:57
1
respuesta

Clasificación de amenazas de ingeniería social en un informe de prueba de penetración

¿Alguien tiene consejos sobre cómo tratar con la ingeniería social en el contexto de la redacción de un informe de prueba de penetración? ¿Cómo asigna una calificación a la ingeniería social? Obviamente, si puede convencer a un usuario con ac...
pregunta 05.01.2016 - 15:51
1
respuesta

¿Es inseguro recibir conexiones IPv4 en los sockets AF_INET6?

La página de manual de FreeBSD para inet6 tiene lo siguiente:    De forma predeterminada, FreeBSD no enruta el tráfico IPv4 a los sockets AF_INET6.   El comportamiento predeterminado viola intencionalmente RFC2553 por seguridad   razones. E...
pregunta 20.06.2015 - 14:28
1
respuesta

Respuestas extrañas de un servidor HTTP desconocido

Noté un dispositivo desconocido al escanear mi red inalámbrica local. Tenía dos puertos TCP abiertos (¿escuchando?); TCP/80 ( http ?) & TCP/443 ( https ?). En un esfuerzo por identificar el dispositivo desconoc...
pregunta 07.05.2016 - 08:19
2
respuestas

¿Cómo puedo hacer cumplir una política de contraseña segura con una base de usuarios no técnicos?

He estado usando zxcvbn para hacer cumplir contraseñas seguras para un servicio donde los robos podrían causar problemas considerables. Sin embargo, el servicio solo es viable si muchos usuarios se registran. Descubrimos que los usuarios tiend...
pregunta 17.03.2016 - 17:16
2
respuestas

¿Por qué Android usa SELinux?

Para restringir / los procesos de sandbox, Android usa SELinux. ¿Por qué se eligió eso y no las soluciones de Linux o cgroups + namespaces? Después de todos los cgroups + namespaces es un tipo de hogar también para ellos. ¿Qué ofrece SELinux o q...
pregunta 08.08.2015 - 20:27
3
respuestas

Alguien está haciendo llamadas aleatorias falsificando mi número de teléfono. ¿Qué hacer?

Durante los últimos seis meses, experimenté devoluciones de llamadas de números extranjeros (todos dentro de la UE) que me dijeron que los había llamado antes. Al principio, pensé que las llamadas son maliciosas. Sin embargo, debido a la frecuen...
pregunta 16.11.2017 - 15:37
2
respuestas

¿Por qué OWASP sugiere usar POST sobre PUT para subir archivos?

Al navegar por las recomendaciones de seguridad de OWASP para subir archivos , marqué la siguiente información:    Intente utilizar el método POST en lugar de PUT (o GET!) No veo cómo un método es mejor que otro desde la perspectiva de l...
pregunta 18.01.2017 - 17:09