Todas las preguntas

1
respuesta

Para una aplicación de escritorio, ¿por qué usar un certificado SSL de una autoridad confiable?

Cuando un navegador web se conecta a un servidor y descarga un certificado SSL, una autoridad de confianza de terceros se asegura de que el cliente esté hablando con el host que está buscando. Si el host utiliza un certificado autofirmado, el cl...
pregunta 08.02.2013 - 23:39
2
respuestas

¿Dispositivos de hardware para proteger contra BadUSB?

¿Se han lanzado dispositivos que protejan contra los ataques de BadUSB? Estoy particularmente interesado en comprar un concentrador USB que tenga las siguientes protecciones: El concentrador USB en sí no permitirá volver a actualizar su p...
pregunta 21.06.2015 - 17:29
3
respuestas

Implicaciones de seguridad del uso de la codificación Base64 con cifrado

¿Existen implicaciones de seguridad al convertir una clave de cifrado de matriz de bytes en una cadena Base64 antes de usarla? Estoy creando un ayudante de cifrado genérico para un proyecto y, por motivos de coherencia y generalidad, utilizo...
pregunta 18.10.2014 - 23:09
1
respuesta

¿Qué hace este intento de explotación de Shellshock? ¿Se ha comprometido mi sitio web?

Hoy he consultado el access.log de mi Apache para la ahora infame cadena () { , y además de un montón de lo que parecían pings para verificar cuántos servidores son vulnerables, encontré este intento, que parecía un ataque genuino: 94.23...
pregunta 26.09.2014 - 08:42
2
respuestas

redes LTE y MITM

2G te dejaría vulnerable a estaciones base falsificadas. 3G trató de arreglarlo de alguna manera utilizando la autenticación mutua. Ahora, traté de comprobar cómo LTE maneja esto, pero no pude encontrar ninguna información útil. ¿Se están aut...
pregunta 09.05.2014 - 15:24
1
respuesta

¿Cuándo debo generar un nuevo token CSRF?

Estoy creando un método de prevención CSRF en nuestro marco de aplicación. Utilizo, entre otras cosas, el sitio OWASP . Hemos elegido para la medida de prevención "Enviar cookies de doble", que se describe en la OWAS CSRF hoja de trucos...
pregunta 15.12.2014 - 20:40
4
respuestas

La salida SHA-3 más corta

En el nuevo estándar SHA-3 noté que tiene un tamaño de salida variable. Sabiendo que la salida más larga es obviamente mejor (mayor entropía), ¿cuál es el límite inferior teórico del tamaño de salida? Puede mi salida hash, por ejemplo ser 8 bi...
pregunta 16.08.2015 - 10:06
1
respuesta

¿Cómo inserto de forma segura una etiqueta img utilizando una URL dada por el usuario?

Si hipotéticamente quisiera permitir que los usuarios usen un avatar de una URL arbitraria como esta: <img class="avatar" src="{user input}" /> Hay muchos problemas que se me ocurren: Hay data uris , por lo que poten...
pregunta 11.05.2015 - 13:41
1
respuesta

¿Cómo usar subclaves para cifrar y firmar con Enigmail?

Tengo un problema con Enigmail. Aquí hay un ejemplo para resaltar mi problema. Alice y Bob desean comunicarse de forma segura utilizando Enigmail. Para mayor seguridad, ambos deciden crear claves con la marca --expert, y hacer que sus claves...
pregunta 05.07.2015 - 19:20
2
respuestas

¿Dónde están los certificados SSL de validación de dominio anónimo / privado?

Todavía tengo que encontrar una CA que no requiera información personal para los certificados DV. ¿Esto se debe a que todos los principales navegadores y sistemas operativos tienen una política para rechazar las CA que no requieren información p...
pregunta 05.10.2014 - 22:53