Todas las preguntas

2
respuestas

¿Es cacert.org más dañino que el autofirmación?

No entiendo el modelo de seguridad https que me intentó The OpenBSD Journal (undeadly.org). En lugar de usar certificados autofirmados para https como lo hicieron en el pasado, durante un tiempo han tenido certificados de 6 meses firmados por...
pregunta 16.04.2015 - 17:20
2
respuestas

¿Una autenticación WPA2-PSK solo tiene éxito si ambas partes conocen la clave precompartida?

Normalmente, la gente piensa que la autenticación WiFi es el cliente que demuestra al AP que conoce la clave precompartida. Pero, ¿el AP también le demuestra al cliente que conoce la clave precompartida? ¿Es fundamentalmente imposible que una...
pregunta 10.06.2015 - 01:13
3
respuestas

Servidor HTTP: tiempo de respuesta en la solicitud de inicio de sesión

Tengo un sitio en el que me gustaría evitar que un atacante no autenticado sepa si existe una cuenta. En el sitio, las contraseñas se procesan mediante bcrypt, por lo que las solicitudes de inicio de sesión deben hacer una comparación de bcryp...
pregunta 19.05.2015 - 18:12
4
respuestas

¿Es posible detectar el tráfico de una red remota? (Con acceso de administrador al enrutador)

Un amigo mío y yo estamos simulando un escenario generalizado donde las configuraciones del enrutador están intactas (contraseñas predeterminadas) y son visibles desde Internet. Él, actuando como la víctima, constantemente emitirá un paquete con...
pregunta 13.05.2015 - 13:35
1
respuesta

¿Cómo autenticarse en un sitio web con claves públicas / privadas?

He estado leyendo cómo funciona la clave pública / privada SSH y se dio cuenta de lo útiles que son (eliminando la seguridad de la ecuación). Y comencé a preguntarme por qué los sitios web no implementan lo mismo. Permítame explicarle por q...
pregunta 14.09.2015 - 14:16
1
respuesta

Escritura conveniente Una vez que los medios se pueden conectar a una computadora: ¿una memoria USB o dispositivo?

¿Qué es un medio de escritura conveniente para usar con una computadora, preferiblemente a través de la interfaz USB? A menudo veo este caso de uso de varias maneras: Tengo un servidor cuyos registros deben estar en un medio que un advers...
pregunta 07.08.2015 - 17:17
2
respuestas

Riesgo de certificados autofirmados con Android

En la lista de OWASP para móviles, se menciona que los certificados autofirmados nunca deben ser permitido. Quiero consultar con otros ¿por qué esto es así? Si tengo un servidor back-end para mi aplicación móvil, y firmo un par de claves (a...
pregunta 07.11.2015 - 21:33
2
respuestas

Tor: exactamente el mismo nodo de entrada desde hace una semana

Desde hace unos días, mi copia de Tor (4.5.3) sigue usando exactamente el mismo nodo de entrada cada vez que lo uso. Estoy bastante seguro de que no es así como solía ser en el pasado. Me siento un poco incómodo al respecto, por lo que quería...
pregunta 25.07.2015 - 11:14
2
respuestas

¿Hay una diferencia de entropía entre el hashing de una cadena codificada?

Por supuesto, si aplico (por ejemplo) SHA-2 a una cadena codificada en base64, me dará un resultado diferente en comparación con los datos originales, pero desde una perspectiva de fortaleza en términos de entropía, ¿hay alguna diferencia? ¿T...
pregunta 07.11.2015 - 00:39
2
respuestas

Cómo ralentizar la ejecución del programa

Tengo un simple binario ejecutable. Toma como entrada una cadena suministrada por el usuario y la compara con una cadena privada usando strcmp . ¿Cómo puedo ralentizar la ejecución de este programa para poder lanzar un ataque de tiempo est...
pregunta 04.06.2015 - 02:45