Preguntas con etiqueta 'disclosure'

1
respuesta

¿Se considerarían los mensajes de excepción genéricos como un riesgo de seguridad?

Por ejemplo, si visita una página web, obtiene la respuesta: Error in exception handler. Esto tiene una gran probabilidad de que el sitio web esté utilizando Laravel . ¿Esta clase sería como divulgación de información? Supongo que no,...
hecha 07.04.2016 - 13:43
1
respuesta

Nombre de inicio de sesión y contraseña en la URL

Recientemente he encontrado una aplicación web, que tiene su URL en el siguiente formato: http://www.[WEBAPP].com/INetService/Show.aspx?Username=[EMAIL]&EncryptedPassword=[Some String of 32 characters length] Ahora parece una forma bast...
hecha 21.10.2016 - 19:50
2
respuestas

¿Hay un sitio como plaintextoffenders.com que avergüenza a las empresas que forzan contraseñas inseguras?

Hace poco me encontré con enlace y me gustó la idea. Me pregunté si había un sitio similar que avergonzara a los sitios web que forzaban contraseñas inseguras. Personalmente, tengo una lista de algunos sitios web que fuerzan contraseñas ins...
hecha 14.12.2012 - 10:38
2
respuestas

¿Cómo puedo reportar un sitio de comercio electrónico en violación de las prácticas de seguridad?

Ordené un producto de un sitio web y encontré que su página de visualización de facturas no está protegida por completo con el identificador de pedido en la cadena de consulta y simplemente incrementando el número expone cada pedido. La informac...
hecha 24.04.2012 - 02:14
1
respuesta

El sitio expone la ubicación GPS del usuario a través de datos EXIF

Recientemente, mientras me acechaba en uno de los sitios de redes sociales populares entre la gente local, descubrí que el sitio no borra los datos del GPS de las imágenes cargadas. Me puse en contacto con ellos y les conté mis preocupaciones, p...
hecha 27.10.2016 - 04:23
1
respuesta

Conseguir que un empleador asegure su sitio web inmediatamente

Soy empleado como consultor en una consultora de tecnología grande. Recientemente noté una falla importante en su sitio web, me enviaron mis credenciales de inicio de sesión en texto sin formato a través de HTTP. Verifiqué esto haciendo una capt...
hecha 13.04.2014 - 12:08
1
respuesta

¿Cómo divulgar de manera responsable una vulnerabilidad en un algoritmo generalizado?

Para ser claros, esto es puramente hipotético. Ayer me golpearon en la cabeza con algunos ladrillos y, en la bruma de las conmociones cerebrales, descubrí un ataque perfecto de preimagen en SHA2. Para cualquier hash dado, puedo encontrar inme...
hecha 24.03.2018 - 05:46
2
respuestas

¿Cómo escalar un problema de seguridad de una biblioteca cuando al autor no parece importarle?

Hay una biblioteca de código abierto que es terriblemente insegura. El autor reconoce que es inseguro. El titular de la biblioteca dice "Esta es una implementación para la plataforma X de la Biblioteca Y". La biblioteca Y es segura, por lo tanto...
hecha 12.10.2017 - 00:53
1
respuesta

Desafíos de configurar la divulgación responsable de mi curso

¿Alguien tiene experiencia en establecer un procedimiento de divulgación responsable para una empresa? Estoy interesado en tomar una asignación universitaria que involucre esto. He leído las directrices de mis gobiernos sobre las responsab...
hecha 04.05.2014 - 11:49
0
respuestas

Datos de error de registro en una aplicación cliente (de escritorio)

Tengo un debate sobre cómo registrar correctamente los errores para la parte del cliente (Java Swing) de una aplicación cliente-servidor desde un punto de vista de seguridad. Creo que es de sentido común que exponer los detalles del error com...
hecha 18.08.2016 - 10:40