Todas las preguntas

1
respuesta

¿Es seguro un asterisco en las especificaciones del comando sudo?

This sugiere que restringir a un usuario a un comando específico con sudo una línea como %web ALL=(ALL) /usr/bin/service apache2 * se puede utilizar. Esta línea en particular restringiría al usuario a ejecutar el programa mencionado /u...
pregunta 14.12.2017 - 10:59
4
respuestas

Gestor de contraseñas vs libro de contraseñas

He visto mucha discusión en línea sobre si el uso del software de administración de contraseñas es más seguro que escribir sus contraseñas en un papel y viceversa. Sin embargo, gran parte de esta discusión asume que el usuario simplemente está e...
pregunta 07.12.2017 - 16:36
2
respuestas

Evitar que los usuarios omitan las medidas de detección de root / jailbreak

Se realizó un pentest para nuestra aplicación móvil (versión de Android y iOS) y recibimos comentarios que indican que la detección de jailbreak / root no fue efectiva porque fue relativamente fácil aplicar ingeniería inversa a la aplicación y c...
pregunta 13.11.2017 - 10:14
1
respuesta

¿Se puede arreglar Specter en el hardware futuro simplemente purgando cachés de CPU?

Por lo que yo entiendo, Specter es causado por la ejecución especulativa que no deshace completamente los efectos secundarios de todos de una predicción de rama incorrecta (específicamente, no deshacer una escritura de caché de CPU). ¿No signi...
pregunta 04.01.2018 - 05:21
1
respuesta

¿Es una buena práctica usar clientes de escritorio 2FA como Authy Desktop?

Básicamente, 2FA se basa en la idea de que, en lugar de simplemente saber algo, el uso de un servicio también requiere algo propio. Tengo bastante confianza, especialmente cuando se usa en iOS (que tiene una mejor segregación de aplicaciones...
pregunta 17.12.2017 - 16:10
1
respuesta

"Simplemente agregue una palabra o dos" consejo

Cuando se usa una frase de contraseña, y alguien muestra preocupación por la ruptura en un corto número de años debido a avances significativos en la tecnología o lo que sea, a menudo escuchará el consejo "Solo agregue una palabra o dos". Sig...
pregunta 18.09.2017 - 06:22
3
respuestas

¿Se necesitan indicadores HttpOnly o Secure si no se inicia sesión?

Mi pregunta es realmente simple, ¿se necesitan indicadores HttpOnly o Secure si un sitio web no tiene una parte privada accesible con inicio de sesión?     
pregunta 21.11.2017 - 16:51
3
respuestas

¿Cómo diagramo un nodo de red con varias capas de confianza?

Si estoy comunicando seguridad y confianza a través de una red, es posible que simplemente tenga en cuenta los nodos de confianza y los que no lo son. Por ejemplo, al realizar una conexión HTTPS a través de algún tipo de nodo proxy que poseo y o...
pregunta 20.03.2018 - 09:37
1
respuesta

¿Almacenar el token de autenticación en una cookie o encabezado?

Entiendo que un encabezado es la solución "más limpia" para transportar un token de autenticación de un sistema confiable a otro en una llamada REST. Pero cuando estás en el código JavaScript del lado del cliente, el mundo me parece diferente....
pregunta 23.02.2018 - 06:43
1
respuesta

¿Cómo lidiar con los problemas de seguridad encontrados en sitios web de terceros?

Hace algún tiempo descubrí una falla de seguridad con respecto a la política de contraseña de mi proveedor de teléfonos celulares que básicamente hace que el sitio web, que incluye el acceso a la información personal y las facturas, sea vulnerab...
pregunta 02.12.2015 - 08:25