Todas las preguntas

2
respuestas

¿Por qué es necesaria la comprobación de remitentes para que Django impida el CSRF?

Hoy aprendí que la protección CSRF de Django utiliza la comprobación del encabezado de referencia (r) er, además de verificar un campo de formulario oculto contra una cookie. Parece ser importante, a juzgar por los documentos y el problema a con...
pregunta 06.08.2015 - 19:53
7
respuestas

¿Cómo puedo evitar poner la contraseña de la base de datos en un script de Perl?

Tengo un script de Perl programado que se conecta a nuestra base de datos y hace varios tipos de búsquedas y verificaciones de integridad. El guión original fue escrito por alguien hace mucho tiempo. Mi trabajo es hacer algunos cambios. Pero rea...
pregunta 20.09.2012 - 21:59
4
respuestas

¿Por qué el navegador web del cliente no necesita ser compatible con PCI?

Una tienda en línea hipotética que acepta pagos con tarjeta de crédito tendrá que ser compatible con PCI porque recibe (transmite), procesa y posiblemente almacena números de tarjetas de crédito. Pero el navegador web del cliente también está...
pregunta 06.04.2011 - 01:45
2
respuestas

¿En qué se diferencia atacar WPA de atacar WPA2?

¿Cuál es la diferencia entre el proceso de atacar WPA y el proceso de atacar WPA2? Sé que WPA2 es mucho más seguro que WPA. Sin embargo, parece ser que los dos son atacados usando el mismo mecanismo, básicamente, capturando el apretón de mano...
pregunta 22.08.2016 - 06:16
2
respuestas

¿Por qué demonios alguien usaría la opción 'top secret' de IPv4?

Por lo tanto, estaba leyendo RFC 791 y me interesé por las opciones ( aquí ). Todo parecía ser decente y sensato, hasta que llegué a la parte de 'niveles de seguridad'. Ahora, puedo entender cómo, internamente, el DoD puede querer que sus paq...
pregunta 27.03.2013 - 20:47
2
respuestas

¿Se expone este código CSS si se lee un mensaje y durante cuánto tiempo lo han estado leyendo?

Esta compañía de análisis de correo electrónico ofrece una 'métrica de compromiso' que muestra cuánto tiempo alguien pasa mirando un correo electrónico, ya sea que esté impreso o eliminado . También afirman que funciona en casi todos l...
pregunta 13.03.2015 - 12:49
3
respuestas

Elegir un algoritmo de ID de sesión para una relación cliente-servidor

Estoy desarrollando una aplicación que tiene una relación cliente-servidor, y tengo problemas para decidir el algoritmo por el cual se determina el identificador de sesión. Mi objetivo es impedir que los impostores adquieran los datos privados d...
pregunta 02.12.2012 - 20:49
5
respuestas

Almacenamiento de contraseña hash con sal aleatoria

Desde que he creado sitios que requieren que un usuario inicie sesión con un nombre de usuario y contraseña, siempre he mantenido las contraseñas un tanto seguras almacenándolas en mi base de datos con una frase salt. Bueno, recientemente leí qu...
pregunta 20.06.2012 - 21:50
1
respuesta

¿Es seguro asignar claves desencriptadas a una variable en la aplicación? [duplicar]

Digamos que he recuperado una clave secreta encriptada del servidor. Lo desencripto para obtener la clave secreta real, asigno la clave desencriptada a una variable en mi aplicación. Algo a lo largo de esto: const encryptedKey = fetchKeyFrom...
pregunta 10.05.2017 - 05:35
8
respuestas

Cómo protegerse contra la fuerza bruta

¿Cómo implementas adecuadamente las defensas contra el fuerza bruta? ¿Es mejor almacenar cuántas veces alguien intentó iniciar sesión y bloquearlas después de X intentos? ¿Y cómo se podría identificar a "alguien"? ¿Con la sesión? ¿Una IP?     
pregunta 03.12.2010 - 12:32