Todas las preguntas

1
respuesta

Explotación reciente de Fritz Box

Información de fondo: Aproximadamente el 50% del ADSL y el acceso a internet por cable en Alemania (y presumiblemente partes de la UE) pasa por enrutadores AVM Fritz, ya sea textualmente o renombrado como p. ej. "1 & 1 Home Server" o "T-O...
pregunta 10.03.2014 - 14:04
3
respuestas

¿Está generando una clave RSA con contraseña y luego eliminándola es más segura que ninguna contraseña?

Hace algún tiempo encontré esta pregunta sobre SO; pregunta cómo eliminar la frase de paso de una clave RSA existente utilizando un equivalente de PHP al comando openssl rss existente. He publicado una respuesta con la solución, pe...
pregunta 27.10.2013 - 00:11
1
respuesta

¿Rowhammer es comparable a las fallas causadas por la radiación?

Por lo que sé, tanto la inyección de fallas basada en el martillo de hilera como en la radiación pueden causar un cambio de bits arbitrario en la memoria. ¿Existen diferencias en cuanto a los posibles resultados de ambos "ataques" en el hardw...
pregunta 19.05.2016 - 11:53
4
respuestas

¿Una conexión de Internet separada aumenta la seguridad para los usuarios remotos?

El administrador de nuestra red ha solicitado que un solo empleado remoto compre un módem separado en su casa para el tráfico de "trabajo". Cuestiono si esta es una práctica de seguridad legítima de cualquier tipo, especialmente porque otros emp...
pregunta 16.09.2014 - 22:57
4
respuestas

¿Por qué un servidor anónimo no puede solicitar un certificado de cliente?

En TLS, un servidor no anónimo puede solicitar un certificado de cliente que coincida con algunos criterios. Sin embargo, es un error fatal para un servidor anónimo solicitar un certificado de cliente. ¿Hay una buena razón para esto?    Un se...
pregunta 25.09.2016 - 09:09
2
respuestas

JWT vs. certificados de cliente

Tenemos un servidor de transacciones que está conectado a través de diferentes aplicaciones cliente. El requisito es tener un medio seguro de autenticación para que las aplicaciones cliente se comuniquen con el servidor de transacciones. Las dos...
pregunta 24.06.2016 - 16:20
2
respuestas

Asegure el flujo de OAuth 2 para el lado del cliente o la aplicación móvil

Estoy implementando una API y una aplicación web del lado del cliente, y se supone que deben comunicarse a través de una API y usar OAuth 2 para la autenticación. No puedo superar mi confusión sobre cuál es la forma correcta de autenticar a l...
pregunta 31.07.2016 - 11:07
1
respuesta

Vulnerabilidad de inyección de PHP SQL en las declaraciones UPDATE

Tome la siguiente consulta SQL como ejemplo: UPDATE 'sqlinjection2' SET '$vote'='$vote'+1 Nuestro objetivo es aumentar el recuento de votos en más de uno, en una solicitud. No podemos acceder al código en sí. Si podemos enviar un v...
pregunta 13.06.2016 - 07:56
2
respuestas

¿Es seguro para los usuarios de mi API 'Iniciar sesión con GitHub' usando pasaporte-github?

Entiendo que OAuth2 fue diseñado para delegar concesiones de autorización a recursos específicos, solo no es un protocolo de autenticación . Sin embargo, los estados de passport-github README ,    Este módulo le permite autenticar...
pregunta 23.10.2016 - 06:25
2
respuestas

¿Qué son los IV débiles? ¿Podemos detener o ralentizar de alguna manera el agrietamiento WEP evitando su uso?

La mayoría de nosotros que nos ocupamos de la seguridad inalámbrica debemos haber descifrado una clave WEP, y al hacerlo hemos encontrado textos como este:    las IVs débiles, revelan más información sobre la parte secreta de la clave WEP que...
pregunta 25.10.2016 - 08:56