Todas las preguntas

2
respuestas

Mejores prácticas para la administración de pares de claves EC2 de AWS

Nuestra organización utiliza los servicios web de Amazon (AWS), y tenemos varias instancias de EC2 que se ejecutan en diferentes subredes (VPC) para diferentes clientes. Nuestra aplicación está en desarrollo y tenemos la necesidad de realizar un...
pregunta 08.07.2016 - 04:59
2
respuestas

¿Cuándo, exactamente, se deben eliminar los tokens antiguos de restablecimiento de contraseña?

Estoy tratando de descubrir las mejores prácticas para trabajar con tokens de restablecimiento de contraseña. Digamos que un usuario inicia el proceso de restablecimiento de la contraseña y luego se les envía por correo electrónico el token d...
pregunta 25.02.2013 - 20:28
4
respuestas

¿Puedo bloquear la verdadera dirección IP usando el encabezado X-Forwarded-For en IIS?

Todo el tráfico llega a mi servidor IIS a través de un proxy. No puedo bloquear o poner en la lista blanca las direcciones IP porque todo el tráfico proviene de la dirección IP del proxy. ¿Puedo usar el encabezado X-Forwarded-For con IIS?   ...
pregunta 11.07.2011 - 08:00
2
respuestas

Evite la suplantación de ARP con una entrada estática dinámica en Linux

La detección / prevención de suplantación de ARP parece ser bastante popular aquí. Con otras técnicas como robo de puertos a un lado, me pregunto si lo siguiente podría funcionar para evitarlo: Cada vez que mi estación de trabajo Linux se c...
pregunta 04.10.2015 - 17:40
1
respuesta

¿Es peligrosa la etiqueta "Powered by ..."

¿Es peligroso desde una perspectiva de seguridad poner una línea en la parte inferior de un sitio web "Powered by Wordpress / Drupal / Django / WHATEVER"? Sé que ciertas plataformas / aplicaciones tienen diferentes vulnerabilidades de seguridad...
pregunta 06.07.2013 - 03:13
1
respuesta

¿Por qué Apache se ejecuta como un usuario sin privilegios?

El servidor web Apache como medida de seguridad renuncia a sus privilegios de sistema y se ejecuta como un usuario normal sin privilegios antes de aceptar clientes a través de una red. Mi pregunta es Cómo esta medida previene o restringe los...
pregunta 17.12.2013 - 17:58
1
respuesta

Ataques prácticos contra WPA2

   Tal vez un duplicado: Bruteforce en 10 caracteres de longitud Contraseña WPA2 Por lo tanto, estoy tratando de ingresar a la seguridad de la red doméstica por diversión. Más concretamente, estoy intentando reproducir el escenario de desc...
pregunta 04.09.2013 - 10:24
2
respuestas

¿Cómo usar un Yubikey NEO (o cualquier tarjeta OpenPGP o GnuPG en general) para firmar los CSR de X.509?

Dado que el Yubikey NEO se puede usar como una tarjeta OpenPGP (consulte aquí ) con tres Las claves RSA de 2048 bits, pensé en crear una CA a partir de una de sus claves públicas. Dado que la clave privada no se puede extraer (de acuerdo con es...
pregunta 18.02.2013 - 17:05
2
respuestas

Cómo seguir usando Java 6 de forma segura, a pesar de las vulnerabilidades de no parcheo

Dado que Java 6 ahora está en desuso por Oracle y recientemente ha habido una notificación de un día 0 (que existirá para siempre ahora) que Oracle no está parcheando JRE6), ¿qué podemos hacer para evitar la explotación de Java en nuestros nav...
pregunta 04.03.2013 - 09:48
1
respuesta

¿Cómo forzar el "cálculo costoso" cuando los clientes se conectan a mi servidor?

Página 183 de Secretos & Miente al contrarrestar los ataques de denegación de servicio:    Algunos investigadores han propuesto defensas que obligan al cliente a   realice un cálculo costoso para realizar una conexión . La idea es   qu...
pregunta 09.03.2014 - 14:59