Todas las preguntas

2
respuestas

Web y HTTP inseguro: uso de RSA para cifrar contraseñas en el lado del cliente

Usé el hashing de contraseña del lado del cliente en mi proyecto de registro e inicio de sesión . Su propósito es evitar que los adversarios / intrusos pasivos descubran las contraseñas de texto simple de los usuarios cuando las solicitudes...
pregunta 28.04.2013 - 07:45
3
respuestas

cifrado de clave simétrica vs hashing

Este es un documento fascinante: las 100 contraseñas principales de adobe breach Tengo una pregunta sobre una parte de ella:    Sin embargo, gracias a que Adobe eligió el cifrado de clave simétrica sobre el hash,   seleccionando el modo...
pregunta 06.11.2013 - 20:20
3
respuestas

¿Cómo forzar que todas las conexiones a mi servidor Apache utilicen TLSv1.1 o TLSv1.2?

Probé en Ubuntu 12.04 (apache 2.2.22-1ubuntu1.4 y openssl 1.0.1-4ubuntu5.10) y Ubuntu 13.04 (apache 2.2.22-6ubuntu5.1 y openssl 1.0.1c-4ubuntu8.1). aquí explica cómo hacerlo, pero tengo los siguientes problemas: Cuando intente usar:  ...
pregunta 03.10.2013 - 20:05
2
respuestas

¿Cuál es la necesidad del token de seguridad para evitar el ataque CSRF?

Tengo una API REST que se ejecuta en un dominio y tengo un cliente en otro dominio. Para evitar CSRF, he configurado la API REST para aceptar la solicitud originada solo desde la aplicación cliente. He añadido la codificación adecuada según la h...
pregunta 21.10.2013 - 11:44
2
respuestas

¿Cómo puedo asegurarme de que una aplicación de Android se instaló en un dispositivo físico y no en un emulador?

Quiero evitar que las personas instalen la aplicación en dispositivos virtuales. ¿Hay alguna manera de decir esto? ¿Qué es lo mejor que puedes hacer? Idealmente, lo que quiero evitar como un todo es que una persona o entidad cree muchas cu...
pregunta 05.01.2014 - 18:23
3
respuestas

¿Por qué permitimos que los certificados SSL sean reemplazados antes de su fecha de caducidad, sin la revocación de otros?

Imagine una situación en la que una entidad de certificación falsa crea un certificado para su sitio. Dado que el navegador del usuario confía en la CA, aceptará el certificado sin ningún problema. Sin embargo, el certificado real del sitio no c...
pregunta 26.05.2013 - 11:52
3
respuestas

Cómo asegurar un punto de acceso wifi abierto

He visto enormes cantidades de guías sobre cómo protegerse cuando utiliza una conexión inalámbrica pública de Internet, pero nada sobre cómo proteger su punto de acceso público de usuarios malintencionados. Un poco de fondo. Compré esta Raspb...
pregunta 08.08.2013 - 19:07
4
respuestas

¿Es posible detectar cambios de clave privada SSL?

Me pregunto si sería posible detectar un cambio de una clave privada SSL. Si cambia la clave, entonces creo que uno debe emitir un nuevo certificado, pero se podrían emitir nuevos certificados sin cambiar la clave, ¿no? ¿O es posible conserva...
pregunta 06.10.2013 - 17:04
2
respuestas

¿Puedo usar la autenticación de 2 factores para las cuentas compartidas?

¿Es posible usar SecurID 2FA para cuentas compartidas de alto privilegio? Actualmente estoy utilizando CyberArk para guardar contraseñas para cuentas privilegiadas. cuando compruebo una contraseña, me gustaría asegurarme de que esta cuenta tiene...
pregunta 01.04.2014 - 17:51
5
respuestas

¿La información de la tarjeta de crédito se envía a través de HTTP? [duplicar]

Mi novia estaba navegando en un sitio web (www.medievalbridalfashions.com) y estaba a punto de realizar una compra cuando noté algo. Durante el proceso de pago, todo parecía estar siendo enviado a través de HTTP simple. Hice una cuenta fict...
pregunta 10.01.2014 - 00:24