Todas las preguntas

2
respuestas

Verificar firma digital sin clave pública clave en la firma

Al recibir correos electrónicos, a veces veo lo siguiente: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 I found an integer overflow in PHP, in the conversation of dates to "Julian Day Count" function. The commit, with a PoC can be found her...
pregunta 29.01.2015 - 11:52
1
respuesta

llave maestra GPG sin dirección de correo electrónico

Me gustaría crear una nueva clave GPG. Al pasar por un par de hilos, parece que el esquema más popular para la máxima seguridad es tener una clave maestra externa (solo para firmar) que proporciona un shell para un par de subclaves de uso diario...
pregunta 05.05.2014 - 09:40
1
respuesta

¿Por qué se permite que una ventana secundaria cambie la ubicación de su padre?

Tal vez una pregunta tonta. Al abrir una nueva pestaña a través de target="_blank" , la página que se carga en esa pestaña puede establecer una nueva ubicación en la pestaña principal mediante: window.opener.location.replace('http://www....
pregunta 20.01.2015 - 14:24
1
respuesta

¿Existe una forma segura de crear y distribuir los Secretos de Shamir?

Esta Utilidad para compartir secretos Shamir consume la clave secreta y luego genera N claves que deben distribuirse manualmente a cada persona. Probablemente esté bien para la mayoría de las situaciones de baja seguridad, pero no es adecua...
pregunta 12.08.2014 - 21:39
2
respuestas

soporte de Android para TLS 1.1

¿Alguien sabe por qué versión de Android TLS 1.1 comenzó a ser compatible directamente con la versión OpenSSL preinstalada en el sistema?     
pregunta 12.09.2014 - 09:23
2
respuestas

¿Qué tan fácil es descifrar gpg con clave privada, pero sin contraseña?

Me preguntaba si un adversario tiene su clave de gpg privada pero no la contraseña / frase, qué tan fácil / difícil sería descifrar un archivo cifrado en comparación con un cifrado que solo usa contraseña y no ¿llaves? (Suponiendo que la contr...
pregunta 03.01.2015 - 13:53
1
respuesta

Ataque de divulgación de información, utilizando un desbordamiento de montón

Una estrategia típica para derrotar a ASLR es encontrar un error de desbordamiento de búfer y un error de divulgación de información. Pero cuando se atacan los servidores que se reinician automáticamente cada vez que se cuelgan o mueren, ¿es suf...
pregunta 28.05.2014 - 22:13
1
respuesta

Fuzzing de vectores de entrada de audio

Hace unos días tuve que hacer una llamada telefónica y en el otro extremo de la línea había una máquina que usaba un software de reconocimiento de voz para validar las respuestas habladas por los clientes al menú de servicio. Me pregunté si serí...
pregunta 02.07.2014 - 20:15
2
respuestas

¿Por qué WPS no fue parcheado para hacerlo seguro?

Un defecto en WPS es que puedes descifrar cada mitad de los 8 dígitos numéricos de forma independiente (2x 4 dígitos numéricos son mucho más fáciles que 1x 8 dígitos numéricos). Sin embargo, desde que se descubrió la falla, ¿por qué no se apl...
pregunta 12.05.2014 - 20:21
2
respuestas

Contraseñas no válidas filtradas a archivos de registro

Mi empresa descubrió recientemente que estamos registrando intentos de inicio de sesión no válidos, junto con nombres de usuario y contraseñas. Esos archivos de registro se almacenan en varias máquinas y son accesibles para todos los miembros de...
pregunta 09.02.2015 - 15:25