Todas las preguntas

2
respuestas

Si no se coloca una longitud máxima en una contraseña, ¿no pueden ocurrir colisiones?

Mientras pensaba en almacenar hash de contraseña en una base de datos, me di cuenta de que podría haber colisiones de hash si no hay una longitud máxima establecida para la contraseña que se está copiando. Tengo entendido que cualquier contra...
pregunta 15.12.2015 - 21:37
2
respuestas

renovación del certificado SSL y tiempo de inactividad debido a la revocación

Estamos en proceso de renovar un certificado SSL, principalmente para el uso forzado de SHA256. Tengo entendido que se debe emitir una nueva Solicitud de firma de certificado (CSR) para el mismo nombre de host y que se firme. Esto nos dará el nu...
pregunta 16.10.2015 - 18:33
2
respuestas

¿Es adecuado un token CSRF por sesión con HTTPS?

La nuestra es una aplicación pesada de Ajax con solicitudes concurrentes de Ajax. La generación de tokens únicos con cada solicitud o caducidad y la creación de nuevos tokens después de un cierto intervalo podría complicarse con varias solicitud...
pregunta 03.01.2013 - 07:14
2
respuestas

¿Es razonable prevenir los ataques de tiempo usando un tiempo de procesamiento fijo?

Tengo sistemas que realizan operaciones criptográficas dentro de un túnel SSL / TLS. Mi preocupación es que puedo filtrar información de tiempo al cifrar, descifrar o hash. Parte 1 ¿Es una buena idea tener un tiempo de procesamiento fij...
pregunta 12.02.2013 - 16:13
3
respuestas

¿Es seguro no tener protección csrf en los formularios de inicio de sesión?

Me he dado cuenta de que WordPress no tiene protección csrf para el inicio de sesión del panel de administración / wp-admin / . ¿Posee realmente algún riesgo potencial? ¿Hay alguna forma posible de que un atacante pueda explotar esto? ¿Es ne...
pregunta 10.06.2015 - 09:57
1
respuesta

¿Qué tan genuinos son los cálculos de entropía de contraseñas?

Pido disculpas por tal vez el título confuso, intentaré elaborar un poco mejor. Muchas de las discusiones que veo sobre la entropía de las contraseñas se centran en el contexto específico del rango de opciones disponibles para los datos nomin...
pregunta 20.02.2013 - 02:33
4
respuestas

Almacenamiento del token anti-CSRF en una cookie

Genero un token anti-CSRF aleatorio por sesión y lo guardo en una cookie (con el conjunto de marcas http_only ). Luego agrego ese token a formularios (en un campo de entrada oculto) y enlaces. Al recibir una solicitud en el servidor, ve...
pregunta 18.03.2013 - 10:01
2
respuestas

¿Tiene sentido utilizar tanto los archivos encriptados GPG como el sistema de archivos encriptado?

Durante algunos años almacené mis archivos de texto personales encriptados usando una clave asimétrica a través de GnuPG. Ahora pensé que es una buena idea cifrar también mi partición del disco duro. ¿Tiene sentido usar tanto el cifrado del sist...
pregunta 18.07.2012 - 09:39
3
respuestas

¿es seguro permitir que se adjunten imágenes externas a Blog o cualquier contenido web?

Estoy filtrando todas las imágenes que se adjuntan a cualquier contenido de mi blog: Compruebe la extensión del archivo. Comprueba el tipo de contenido usando $finfo = finfo_open(FILEINFO_MIME_TYPE); También guardo la imagen tempo...
pregunta 04.03.2013 - 20:56
3
respuestas

¿Qué tan fácil podría ser truecrypt y EFS crackeado en este escenario

Sospecho que algunos datos se restaron en los últimos meses de mi computadora portátil. Por lo tanto estoy buscando métodos para cifrar mis datos. Quiero intentar usar Truecrypt para la carpeta de archivos confidenciales más EFS para los archi...
pregunta 18.01.2013 - 04:10