Preguntas con etiqueta 'authentication'

preguntas con etiqueta
1
respuesta

Cómo asegurar la página de inicio de sesión habilitada para JavaScript sin TLS

Estoy involucrado en un proyecto de IoT con una sola interfaz de usuario web de buscapersonas. Desafortunadamente, como se descubrió de una manera difícil, la pila TLS no es viable en la plataforma seleccionada. Las alternativas que he encontrad...
hecha 08.05.2017 - 19:20
2
respuestas

Colocar la dirección IP en el token web JSON o la cookie de sesión

Soy relativamente nuevo en seguridad y busco evitar los inicios de sesión de fuerza bruta en una aplicación web que estoy creando. Después de investigar un poco, decidí exigir un captcha después de que un usuario intente demasiados inicios de...
hecha 02.06.2017 - 20:44
2
respuestas

¿Son las cuentas de servicio múltiples más seguras que una sola cuenta?

Tengo un servidor con tres procesos personalizados que se ejecutan en una sola cuenta de dominio. Un "experto" en seguridad ha recomendado que se creen tres cuentas, y cada una debe ejecutarse en una cuenta separada. ¿Cómo es eso más segur...
hecha 09.05.2018 - 17:53
1
respuesta

¿Cuándo el inicio de sesión automático puede ser aceptable desde el punto de vista de la seguridad?

En mi organización, algunas personas de TI solicitan la instalación de dispositivos con inicio de sesión automático configurado. La razón por la que defienden es que el usuario solo podrá realizar acciones de muy bajo riesgo: por ejemplo, navega...
hecha 24.12.2015 - 17:59
2
respuestas

diferencia entre KMS y PKI

Mientras que el sistema PKI se ocupa del ciclo de vida de los certificados digitales y el Sistema de gestión de claves (KMS) se ocupa del ciclo de vida de las claves. ¿Cuál es la diferencia fundamental entre ellos? ¿Es posible considerar q...
hecha 15.09.2015 - 10:14
2
respuestas

TLS-RSA vs TLS-ECDHE-RSA vs static DH

Entiendo que hay muchos artículos que explican esto y antes de publicar mi pregunta, este es mi entendimiento actual sobre estos: ECDHE-RSA = el servidor genera aleatoriamente un par de claves DH porque el certificado no tiene información suf...
hecha 26.07.2017 - 12:29
3
respuestas

Autentificando usuario en el mismo subdominio usando cookies

Tenemos pocos sitios web en producción, como site1.dom1.com , site2.dom1.com , site3.dom1.com , que son Sólo réplicas trabajando en diferentes servidores. Ahora queremos extender alguna aplicación en otro servidor, digamos app.dom1.com (...
hecha 26.02.2016 - 11:30
3
respuestas

¿Cómo proteger WordPress de ataques de fuerza bruta?

Uno de mis sitios de WordPress está siendo atacado constantemente con fuerza bruta. Tengo los plugins de WordFence y Clef instalados. El número de intentos de inicio de sesión se limita a uno solo. La contraseña es muy fuerte, el nombre de usuar...
hecha 29.04.2016 - 17:29
2
respuestas

En la autenticación en dos pasos, ¿debo revisar el paso 1 antes de continuar con el paso 2 o al final?

Primero hice esta pregunta en Stack Overflow, pero se sugirió que la Seguridad de la información sería un lugar mejor para ella (bastante obvio en retrospectiva). enlace Tengo un proceso de autenticación de formularios de aplicación web...
hecha 20.06.2014 - 12:27
1
respuesta

¿Cómo se puede usar la inyección de objeto PHP sin serializar () para omitir la autenticación?

Así que encontré esta omisión de autenticación seguridad El aviso y la solución simplemente estaba cambiando la serialización a la codificación json. Me pregunto cómo es realmente explotable? Sé que unserialize() puede usarse para...
hecha 02.12.2014 - 22:47