Todas las preguntas

4
respuestas

¿Vale la pena un proxy inverso?

¿Vale la pena un proxy inverso? Hay tantos sitios no seguros que utilizan un proxy inverso y siento que eso no los protege. Después de todo, si tienen un error en su SQL que podría usarse para inyección, ¿verdad? Siento que muchas personas confí...
pregunta 01.06.2015 - 01:54
3
respuestas

¿Por qué los bancos siguen pirateando la función autocompletar = desactivar?

Con Bug # 1025703 en la última versión de Firefox 38, Mozilla finalmente ha decidido defender su usuarios en lugar de atender a los bancos que no quieren que se recuerden las contraseñas. Sin embargo, hace aproximadamente un año, he notado...
pregunta 21.05.2015 - 05:20
3
respuestas

¿Alguna razón para no cifrar un valor de 32 bytes por medio de XORing con un hash PBKDF2?

Normalmente, usaría PBKDF2 para generar una clave que usaría con AES. Pero viendo que el hash será tan largo como los datos que necesito cifrar, ¿hay alguna desventaja con solo XOR'ing? Mi razonamiento es que si puedes obtener el hash, tendrí...
pregunta 14.05.2015 - 19:42
5
respuestas

¿Cuánto se reduce la entropía de una contraseña generada aleatoriamente si me regenero hasta que obtengo una contraseña que me gusta? [duplicar]

En muchas de las respuestas y comentarios sobre el conocido XKCD # 936: ¿Contraseña corta y compleja o frase de contraseña larga del diccionario? pregunta, se recalcó la importancia de generar la contraseña de forma aleatoria, y no solo de c...
pregunta 01.07.2015 - 16:13
2
respuestas

¿Por qué no generar un cliente SSL con fecha de vencimiento en un futuro muy lejano?

En el caso de un certificado SSL del servidor, es emitido por una CA que puede recuperarlo hasta que caduque y Además, la CA normalmente cobra una tarifa por cada certificado, por lo que está interesada en los certificados que caducan aproxima...
pregunta 23.01.2015 - 10:20
4
respuestas

¿La manipulación de una contraseña aleatoria reduce significativamente su entropía?

Supongamos que genero una contraseña utilizando un generador seguro de números aleatorios y todas las clases de caracteres disponibles. Por ejemplo, c.hK=~}~$Nc!]vFp9CgE . Tenga en cuenta que es posible que esta contraseña deba utilizar...
pregunta 14.08.2015 - 14:53
2
respuestas

Anular el filtro XSS

<script> Something.execute("injectionpoint"); }, true); </script> Estoy intentando omitir un filtro XSS pero no funciona, ya que " se filtra como \" o ;\" dependiendo de donde se coloca " . / se f...
pregunta 25.04.2015 - 15:57
4
respuestas

¿Las tarjetas de claves RFID rastrean al usuario a través de formas de entrada?

En el trabajo, usamos etiquetas RFID para ingresar al edificio y a cada piso. Las etiquetas se doblan como identificación con foto, siempre me pregunté si se usan (o se pueden usar) para realizar un seguimiento de los movimientos del personal....
pregunta 20.03.2015 - 05:21
3
respuestas

Dominio cruzado externo incluye secuencia de comandos

Una de mis aplicaciones web se sometió a una evaluación de vulnerabilidad recientemente, y uno de los hallazgos se relaciona con el script de inclusión de varios dominios. Nuestra aplicación web utiliza addthis_widget.js de AddThis para marcar...
pregunta 16.02.2015 - 11:05
3
respuestas

¿Los ataques XSS con estilo WebGoat todavía funcionan?

Estoy realizando los ejercicios de WebGoat para actualizar mi conocimiento de los ataques XSS. Específicamente, estoy haciendo el ejercicio XSS de la Etapa 1. Este ejercicio tiene una forma que deliberadamente no sanea la entrada. El video de...
pregunta 27.02.2015 - 11:16