Todas las preguntas

2
respuestas

¿Las mejores prácticas para las URL de inicio de sesión automáticas?

Una URL de inicio de sesión automático es un mecanismo mediante el cual un usuario existente pero desconectado de su sitio web o aplicación puede hacer clic en un enlace con un token aleatorio y ser reconocido automáticamente e iniciar sesión en...
pregunta 06.03.2016 - 20:48
1
respuesta

Detectar man-in-the-middle en el lado del servidor para HTTPS

Antecedentes: tenemos un sitio que funciona a través de HTTPS (HTTP no es compatible, usamos HSTS). Se implementa en una nube de terceros, lo que restringe nuestras capacidades de control y registro sobre el hardware del servidor. No podemos for...
pregunta 14.01.2016 - 11:29
1
respuesta

generación de claves RSA: gpg vs openssh

Cuando genero la clave RSA para ssh (tanto del servidor como del cliente): dpkg-reconfigure openssh-server ssh-keygen la generación de claves se completa instantáneamente. Sin embargo, cuando genero una clave RSA para gpg, la generación de...
pregunta 19.03.2015 - 11:41
2
respuestas

¿Las antiguas claves API en el historial de git son una vulnerabilidad de seguridad?

Hace poco cometí el error de filtrar mi clave de la API de Mailgun en un proyecto de código abierto GitHub. Inmediatamente lo invalidé, pero el soporte de Mailgun me ha pedido que tome el paso adicional de eliminar mi repositorio de GitHub. Hast...
pregunta 19.01.2018 - 22:54
1
respuesta

¿Cómo gestiona Google Chrome los certificados de raíz de confianza?

A diferencia de Mozilla Firefox, siempre asumí que Google Chrome no viene con su propio almacén de confianza de certificados, sino que utiliza el del sistema operativo. Al menos en Windows 7, cualquier tarea relacionada con la administración de...
pregunta 31.08.2017 - 08:51
3
respuestas

Hashing un archivo grande en un sistema integrado

Estoy tratando de encontrar una manera de verificar la autenticidad de un archivo que estoy descargando de un servidor a un sistema integrado. Estoy pensando en usar un hash (SHA256 preferiblemente). Mi principal preocupación es que el tamaño de...
pregunta 12.02.2018 - 21:34
2
respuestas

¿Cuáles son los riesgos de seguridad de habilitar Cors en localhost?

Tengo una aplicación móvil basada en Cordova que está llegando a alguna API a través de un servidor local en el móvil. La aplicación móvil establece el origen como Localhost. Aquí surge el corsé y no puedo hacer la solicitud. Ahora estas API se...
pregunta 06.04.2017 - 18:51
1
respuesta

¿Por qué usar códigos de un solo uso para copias de seguridad de autenticación de dos factores?

Estoy creando una aplicación web que utiliza autenticación de dos factores. Al implementar la función de recuperación, veo que la mayoría de las compañías (por ejemplo, Apple, Facebook, Github) proporcionan un conjunto de ~ 15 códigos de resp...
pregunta 30.07.2018 - 11:32
1
respuesta

¿Existe alguna biblioteca de Java recomendada para las pruebas de penetración?

¿Alguien tiene alguna recomendación para una buena biblioteca de Java que pueda usarse para pruebas de penetración? Una vez leí sobre una biblioteca que creo que se llamaba 'Attack lib' pero ya no la puedo encontrar. EDITAR: Esta bibliotec...
pregunta 28.11.2010 - 21:24
3
respuestas

¿Cuáles son los pros y los contras de subcontratar la PKI de una organización?

Estoy buscando los pros y los contras de subcontratar la infraestructura de clave pública (PKI) de una organización. Entiendo que la respuesta a si subcontratar o no en realidad va a depender del entorno y de la organización. ¿Cuáles son los rie...
pregunta 19.12.2010 - 16:16