Preguntas con etiqueta 'secure-coding'

10
respuestas

¿Sería una buena práctica de programación segura sobrescribir una variable "sensible" antes de borrarla?

¿Es una buena práctica de programación segura sobrescribir los datos confidenciales almacenados en una variable antes de que se eliminen (o queden fuera del alcance)? Mi idea es que evitaría que un pirata informático pudiera leer los datos laten...
hecha 04.12.2014 - 17:18
5
respuestas

¿Debe reutilizarse o reescribirse el código crítico para la seguridad?

Por lo general, en la programación, reutilizar el código siempre es una mejor idea que escribir su propia implementación de un algoritmo. Si una implementación ha estado vigente durante mucho tiempo y todavía es utilizada por muchos proyectos, e...
hecha 07.11.2014 - 11:04
7
respuestas

¿Cuáles son algunos conceptos importantes para enseñar a los desarrolladores acerca de los scripts entre sitios (XSS)?

Estoy ayudando con una capacitación de una hora para desarrolladores (aproximadamente 100 de ellos) en scripts entre sitios. ¿Cuáles son algunos conceptos que crees que son indispensables para llegar a ellos? Ahora mismo tenemos: Diferencia...
hecha 31.08.2016 - 20:56
5
respuestas

¿Cuántas rondas de hash es suficiente para un administrador de contraseñas?

Actualmente estoy escribiendo mi propio pequeño administrador de contraseñas que almacena la clave en un hash SHA256 , con salt. Yo creo el hash haciendo lo siguiente: def sha256_rounds(raw, rounds=100001): obj = hashlib.sha256()...
hecha 28.06.2018 - 15:39
4
respuestas

¿Qué tan seguro es el uso de huellas digitales (como el TouchID de Apple) para la autenticación en aplicaciones bancarias? [cerrado]

Estamos trabajando en el desarrollo de una aplicación bancaria y para clientes. Necesitamos implementar TouchID en iOS de Apple y una verificación de huellas dactilares en Android. En primer lugar, ¿cuáles son los posibles riesgos y considera...
hecha 20.06.2017 - 08:51
2
respuestas

En C, no usar 'void' si una función no acepta ningún argumento es una vulnerabilidad potencial

En el estándar de codificación segura CERT, hay una recomendación de que " Siempre especifique void incluso si una función no acepta argumentos ". Se propone una posible vulnerabilidad de seguridad. /* Compile using gcc4.3.3 */ void foo() {...
hecha 27.09.2013 - 14:41
3
respuestas

establecer un límite en los intentos de recuperación de contraseña

en una configuración donde uno ha olvidado su contraseña, me gustaría poder limitar los intentos de ingresar direcciones de correo electrónico a algo como 10. Mi primer pensamiento fue usar una cookie. $attempts = 0; if( isset( $_COOKIE['pass...
hecha 13.03.2013 - 02:59
3
respuestas

¿La inicialización de la variable a NULL o 0 o -1 es una mala práctica desde el punto de vista de la seguridad?

Estoy tratando de aprender un poco sobre la aplicación de blindaje contra la ingeniería inversa. En un artículo leí que inicializar variables a NULL o 0 o -1 es tan seguro (vs RE) como usar contraseñas comunes en las aplicaciones. En resumen, se...
hecha 05.08.2013 - 22:28
1
respuesta

¿Qué nos impide comenzar a utilizar scrypt en producción?

Después de leer mucho la opinión de los expertos sobre el hash de contraseñas, entiendo que scrypt (que es tanto de memoria como de uso intensivo de la CPU) es un buen candidato para el hashing de contraseñas. Pero vi a los expertos recomendar u...
hecha 19.11.2014 - 03:16
3
respuestas

¿es seguro permitir que se adjunten imágenes externas a Blog o cualquier contenido web?

Estoy filtrando todas las imágenes que se adjuntan a cualquier contenido de mi blog: Compruebe la extensión del archivo. Comprueba el tipo de contenido usando $finfo = finfo_open(FILEINFO_MIME_TYPE); También guardo la imagen tempo...
hecha 04.03.2013 - 21:56