Todas las preguntas

2
respuestas

Acabo de enviar el nombre de usuario y la contraseña a través de https. ¿Esta bien?

Cuando un usuario inicia sesión en mi sitio, me envía su nombre de usuario y contraseña a través de https. Además del ssl, no hay una ofuscación especial de la contraseña: vive en la memoria en el navegador. ¿Hay algo más que deba hacer? ¿Deb...
pregunta 12.09.2011 - 07:00
4
respuestas

¿Por qué se siguen utilizando MD5 y SHA-1 para las sumas de comprobación y los certificados si se llaman rotos?

Acabo de leer sobre SSL / TLS, y de acuerdo con este sitio (que está calificado como A por Qualys SSL Labs), MD5 está totalmente dañado, y SHA-1 es criptográficamente débil desde 2005. Y, sin embargo, noté que muchos programadores e incluso Mi...
pregunta 03.05.2015 - 05:31
4
respuestas

¿Cómo puede la geolocalización html5 omitir mi vpn?

Hace aproximadamente dos meses decidí usar una VPN todo el tiempo (se lanzó al inicio) por varias razones, la privacidad es la primera. Pero recientemente me di cuenta de que si acepta compartir su ubicación cuando aparece una geolocalización HT...
pregunta 23.07.2016 - 12:38
10
respuestas

¿Qué tipo de patrón debo usar para mis contraseñas?

Tengo muchas cuentas y hasta hace un tiempo usé una contraseña universal para todas ellas. Ahora mismo tengo una contraseña diferente para cada cuenta, dependiendo del nombre del sitio web en el que estoy iniciando sesión. Utilizo un patrón y la...
pregunta 29.10.2015 - 14:20
2
respuestas

¿Cómo funciona la autenticación de clave pública ssh?

Mi comprensión básica es esta: El sshd del servidor (conectado a) utiliza la clave pública para cifrar algún mensaje El ssh o ssh-agent del cliente lo descifra y envía algo de vuelta (¿la suma de comprobación del mensa...
pregunta 26.10.2012 - 13:22
4
respuestas

¿Qué falla criptográfica fue explotada por Flame, para obtener su código firmado por Microsoft?

Hoy, Microsoft lanzó una advertencia de seguridad de que el malware "Flame" explotaba una debilidad en un algoritmo criptográfico utilizado por el Servicio de licencias de Microsoft Terminal Server, y de ese modo pudo obtener parte de su código...
pregunta 04.06.2012 - 07:02
5
respuestas

¿Cuál es el peligro de tener algún código aleatorio, fuera de mi control, de JavaScript ejecutándose en mis páginas?

Las páginas de mi sitio web hacen referencia a un código JavaScript de un CDN de terceros (análisis, etc.). Por lo tanto, no controlo qué código está allí (el tercero puede cambiar esos scripts en cualquier momento e introducir algo malo en es...
pregunta 18.02.2016 - 14:49
3
respuestas

¿Ejemplo simple de configuración auditd?

Auditd se recomendó en una respuesta a ¿registro de comandos de Linux? La instalación predeterminada en Ubuntu parece apenas registrar algo. Hay varios ejemplos que vienen con él (capp.rules, nispom.rules, stig.rules) pero no está claro c...
pregunta 18.06.2011 - 19:26
4
respuestas

¿Por qué es más seguro usar sal?

Almacenar el hash de las contraseñas de los usuarios, por ejemplo, en una base de datos, es inseguro ya que las contraseñas humanas son vulnerables a los ataques de diccionario. Todo el mundo sugiere que esto se mitiga mediante el uso de sales,...
pregunta 21.04.2012 - 22:26
15
respuestas

¿Debemos proteger el código fuente de la aplicación web para que no sea robado por hosts web a través de la ofuscación?

¿Vale la pena ofuscar el código fuente de una aplicación web java para que el servidor web no pueda hacer un uso incorrecto del código o incluso robar su negocio? Si es así, ¿cómo debería tratarse esto? ¿Cómo debemos ofuscar? Somos una nueva...
pregunta 05.08.2013 - 16:20