Todas las preguntas

1
respuesta

Cliente que requiere nuestra clave privada SSL para configurar el equilibrador de carga que llega a nuestro servidor. ¿Tiene sentido?

Estoy enfrentando una situación inusual, espero que puedas aclararme esto. Administramos algunas aplicaciones que son accesibles a través de solicitudes HTTPS en el puerto 443 de nuestro servidor X. Tenemos un nuevo cliente que también se...
pregunta 21.07.2017 - 13:57
2
respuestas

¿Cómo asegurar que la API REST no se rastree cuando se sirve contenido público?

Tengo una aplicación web ReactJs, una aplicación para Android que consume una API REST desarrollada con django, todo el proyecto es para medios / noticias, la mayor parte de la API REST es contenido público, hay una pequeña parte donde el usuari...
pregunta 24.05.2017 - 21:01
3
respuestas

Proteger la tarjeta sd física de Raspberry Pi para cambiarla

Scenario: En una compañía hay Raspberry Pis que están conectados a su entorno de red. Una persona con malas intenciones podría intercambiar la tarjeta SD y reemplazarla por la suya propia, lo que convierte al Pi en un "rastreador" o la persona...
pregunta 02.06.2017 - 09:18
2
respuestas

MITM durante el cambio legítimo de clave / huella digital

Se produjo un cambio de clave / huella digital en el servidor de un amigo al que tengo acceso. Así que le escribí un mensaje y le pregunté: "¿Cambió los certificados?" a lo que responde "si". Mi primer pensamiento es actualizar mi huella digi...
pregunta 24.07.2017 - 13:52
1
respuesta

¿Son necesarias políticas restrictivas del mismo origen?

La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí . El quid: La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com). CORS actualmente per...
pregunta 16.02.2018 - 16:56
1
respuesta

¿el atributo sameSite es redundante en la cookie httpOnly?

Si una cookie (la cookie de autenticación en particular) tiene el atributo httpOnly establecido, ¿el atributo sameSite agrega alguna otra capa de seguridad? En mi opinión, sameSite se usa para prevenir CSRF, pero httpO...
pregunta 14.03.2017 - 16:11
1
respuesta

OpenSSL "no se puede obtener el certificado del emisor local" incluso cuando se pasa la Autoridad de Certificación

He intentado configurar una autoridad de certificación y emitir un certificado de esa autoridad (sin intermediario entre la autoridad. Cubre *.node.consul , y el certificado está debajo de eso en: i-0c2e25880dab06f71.node.consul ). S...
pregunta 03.01.2018 - 15:58
2
respuestas

estándares para la regulación de la autoridad de certificación intermedia

Quiero saber algo de información sobre la regulación de las AC intermedias. ¿Existe algún estándar para que la CA intermedia determine cuántas CA intermedias se requieren o algo similar a lo que se refiere a la aplicación de la CA intermedia?  ...
pregunta 11.03.2018 - 08:25
1
respuesta

Yubikey Desktop Authenticator

¿Diría que es más seguro usar Yubikey Desktop Authenticator que Google Authenticator? En lugar de usar Google Authenticator cada vez que quiero iniciar sesión en algún sitio, me pregunto si sería igualmente seguro usar la aplicación de aute...
pregunta 19.02.2018 - 21:31
2
respuestas

¿OWASP ESAPI sigue siendo la forma recomendada de proteger las páginas JSP?

Noté que OWASP ESAPI no se ha actualizado en mucho tiempo ( actualización menor en 2016, y antes de 2013 ). ¿Existen mejores alternativas para usarlo, es decir, usar las utilidades de un marco más actualizado para, por ejemplo, escapar y validar...
pregunta 02.10.2017 - 15:25