Todas las preguntas

1
respuesta

Comparando el formulario HTML estándar POST para la autenticación de usuario vs Javascript / AJAX

¿Hay alguna implicación de seguridad con la POSTing de una solicitud de autenticación con el uso de javascript / ajax, en lugar de POSTing de un elemento HTML presionando el botón enviar? por lo tanto <form method="POST" action="/login/"...
pregunta 10.07.2012 - 10:38
6
respuestas

¿Cuáles son todos los problemas con el almacenamiento de una contraseña de texto simple?

Lo sé, lo sé, ¡las contraseñas de texto claro son terribles y siempre debes almacenar un hash! Sin embargo, estoy interesado en todos de los problemas con el almacenamiento de contraseñas de texto claro para que pueda tomar una decisión raz...
pregunta 13.03.2012 - 01:54
2
respuestas

Inconvenientes de seguridad para usar el token de acceso de corta duración en el lado del cliente javascript

Tengo la intención de crear un sitio front-end completamente en javascript (NodeJS) y me gustaría hacer llamadas ajax a un REST WS que se encuentra en otro dominio en el lado del cliente. Tengo la intención de usar auth2 y SSL para asegurar m...
pregunta 09.04.2012 - 21:45
1
respuesta

¿Deben estar cifrados o HMAC los hashes de contraseña?

Supongamos que tengo contraseñas de usuario de hash con PBKDF2, bcrypt, scrypt o alguna otra función de derivación de clave segura. Están ahí: beneficios de seguridad tangibles, precedentes, y investigación respetada para proteger...
pregunta 24.08.2012 - 18:14
1
respuesta

¿De qué sirve agregar un desafío a un algoritmo de contraseña de un solo uso?

En estos videos de YouTube Modo de respuesta de desafío y Sign Mode el cliente ingresa un desafío en el dispositivo CAP antes de generar una contraseña de un solo uso. ¿Por qué no generar directamente la contraseña de un solo uso?     
pregunta 17.06.2012 - 12:50
2
respuestas

¿Cuál es la ética y legalidad de tomar datos de las redes sociales para ayudar a un Pentest?

¿Cuál es la ética y la legalidad de desarrollar y utilizar una herramienta para obtener datos de los empleados de la empresa del cliente en redes sociales como Facebook, Twitter y linkedin? Los datos se deben utilizar luego en un pentest en ataq...
pregunta 11.05.2012 - 17:45
1
respuesta

¿La instalación de Apache en mi máquina local crea nuevos riesgos de seguridad?

Estoy desarrollando una pequeña aplicación en línea LAMP, y hasta ahora he estado haciendo todo el desarrollo en línea. También estoy considerando instalar Apache / PHP / MySQL en mi máquina Ubuntu para poder desarrollarme localmente, pero me...
pregunta 06.02.2012 - 11:21
4
respuestas

¿Hay algún método estándar para que yo le de a alguien más acceso de solo lectura a mis datos?

¿Existen métodos estándar para que yo le de a alguien más acceso de solo lectura a mis datos? Hay varias situaciones en las que me gustaría darles a algunas personas acceso de solo lectura a algunos datos, pero preferiría no darles a esas per...
pregunta 19.05.2012 - 20:22
1
respuesta

¿Es seguro HTTPS sobre UDP?

Recientemente, noté que mientras uso la búsqueda de Google, me conecto al servidor de Google utilizando UDP en lugar de TCP tanto en el puerto 80 como en el puerto 443. Parece que Google está experimentando con alguna tecnología nueva relacionad...
pregunta 14.12.2014 - 02:59
3
respuestas

¿Se utiliza realmente SESAME en Europa?

Estoy viendo un texto que menciona que el Sistema Europeo Seguro para Aplicaciones en un Entorno de Proveedores Múltiples (SESAME) fue diseñado para abordar algunas de las debilidades de Kerberos, con mejoras tales como: Uso de criptografía...
pregunta 28.04.2014 - 01:55