Todas las preguntas

1
respuesta

¿La mayoría de las implementaciones de aplicaciones de OAuth son vulnerables debido a una URL / origen oculto?

Cada vez que me solicitan OAuth en una aplicación me incumple la falta de capacidad para verificar que la página realmente se origina en la fuente representada. ¿La mayoría de las implementaciones de aplicaciones de OAuth están exponiendo...
pregunta 14.09.2013 - 01:28
2
respuestas

¿Existe algún riesgo al habilitar CORS con un comodín en S3?

De forma predeterminada, Amazon S3 bloquea las solicitudes de origen cruzado. Sin embargo, permite a los usuarios la posibilidad de configurar políticas CORS por grupo. Ofrece controles bastante elaborados para los dominios y métodos que el usua...
pregunta 27.08.2013 - 21:29
2
respuestas

Se requieren 2 teclas para acceder a un contenido

Necesito usar un servicio externo al que solo se pueda acceder por contraseña. No me gusta la idea de almacenar la contraseña de texto sin formato en el servidor, pero AFAIK no hay mucho que pueda hacer. Teniendo en cuenta que solo un clie...
pregunta 18.01.2014 - 21:45
2
respuestas

¿REALMENTE necesito cambiar mi contraseña de LastPass?

La red de LastPass del pasado fin de semana se vio comprometida y se robó una lista de direcciones de correo electrónico junto con los hashes de las contraseñas maestras. Se recomienda que los usuarios de LastPass cambien sus contraseñas en vari...
pregunta 16.06.2015 - 14:06
1
respuesta

Explotabilidad de uso después de vulnerabilidades libres

Los errores de uso después de liberarse son una clase particular de errores de seguridad de memoria. ¿Con qué frecuencia son explotables, en la práctica? Cuando encuentras un error de uso después de un programa gratuito, ¿es a menudo explotable,...
pregunta 21.03.2014 - 20:24
1
respuesta

¿Cómo verificar si la ventana emergente de contraseña de iCloud es legítima?

Estaba lejos de la computadora cuando apareció esta ventana emergente y no tengo idea de qué lo provocó. ¿Cómo puedo saber si es una ventana emergente legítima de la App Store o un intento de phishing con algún malware? En mis días de Windows...
pregunta 23.10.2015 - 09:49
2
respuestas

¿Son compatibles las restricciones de nombre X.509 en los certificados en OS X?

Tengo la siguiente "cadena" de certificados en una máquina de prueba en este momento: Un certificado CA autofirmado en mi llavero y Trusted & Confiado por Firefox. Un certificado CA con lo siguiente, X509v3 Name Constraints: critica...
pregunta 31.07.2015 - 17:04
1
respuesta

Verificación hash iFrame secundaria del contenido iFrame principal

Considere el siguiente escenario: Alice desea navegar por el sitio web de Victor mientras trabaja en Initech. El sitio web de Victor está alojado en un sistema de nombres de dominio alternativo al que el DNS de Initech no se compara. Eve (que...
pregunta 04.09.2013 - 23:17
2
respuestas

¿Cómo implementa github.com la mitigación de CSRF?

He echado un vistazo a CSRF recientemente. La estrategia de mitigación recomendada es implementar la Synchronizer Token Pattern . Cuando miras los detalles, surge la pregunta de con qué frecuencia es necesario cambiar estos tokens. De nuev...
pregunta 19.10.2015 - 16:09
1
respuesta

ADFS: verificar las solicitudes del usuario de confianza

En ADFS, se utilizan certificados de servidor. Esto se explica (muy claramente) en esta página: enlace Ahora, he configurado lo siguiente: certificado de comunicaciones ADFS Certificado de descifrado de tokens de ADFS (para tokens que...
pregunta 05.08.2014 - 10:03