Preguntas con etiqueta 'threat-mitigation'

preguntas con etiqueta
1
respuesta

¿No es aconsejable utilizar Redis para almacenar PII, claves privadas y otros secretos?

Estoy revisando un sistema que usa Redis para almacenar todos los secretos del cliente, las claves privadas y otras cosas. El problema es que Redis carga toda la base de datos en la RAM Debido a que se sabe que heartbleed de SSL, Rowhamme...
hecha 22.03.2015 - 13:43
1
respuesta

Mitigando el nuevo ataque en WPA2 con PMKID

Se descubrió un nuevo ataque que permite descifrar una frase de contraseña WPA2 sin necesidad de capturar el protocolo de enlace de 4 vías. Si bien esto no debilita la contraseña en sí, sí significa que un atacante puede comenzar sus intentos...
hecha 05.08.2018 - 05:14
1
respuesta

Inconsistencias encontradas en los encabezados HTTP del proveedor de OpenID. ¿Cuál es el más seguro que debo imitar en mi STS y en Relying Party?

Estoy comparando los encabezados HTTP de los distintos proveedores (LiveID, Google, Yahoo, etc.) y observo una gran inconsistencia en la implementación en la página de inicio de sesión, la página de cierre de sesión y las páginas subsiguientes....
hecha 29.10.2011 - 09:09
2
respuestas

Cómo seguir usando Java 6 de forma segura, a pesar de las vulnerabilidades de no parcheo

Dado que Java 6 ahora está en desuso por Oracle y recientemente ha habido una notificación de un día 0 (que existirá para siempre ahora) que Oracle no está parcheando JRE6), ¿qué podemos hacer para evitar la explotación de Java en nuestros nav...
hecha 04.03.2013 - 10:48
2
respuestas

¿Alguna guía de fortalecimiento de Exchange recomienda deshabilitar OWA Webready? ¿Deberían ellos?

Por cuarta vez en más de un año, Exchange OWA ha puesto en riesgo nuestra red interna debido a una falla de ejecución remota de código que existe en el tiempo de ejecución del servidor. Este riesgo se ve agravado por el hecho Microsoft no admit...
hecha 15.08.2013 - 03:31
1
respuesta

¿Se ha descubierto en la naturaleza algún virus que aproveche la GPU? ¿Qué es la mitigación?

Este artículo de noticias de 2010 explica cómo un virus puede utilizar una GPU para Evite la detección por software anti-malware / anti-virus común. La idea es ofuscar la carga útil del virus y aprovechar el poder de cómputo de la GPU para des...
hecha 15.12.2012 - 17:05
2
respuestas

¿Hay un equivalente de HSTS para DNSSec?

¿Hay alguna forma de establecer una política de DNSSec-siempre similar a la forma en que HSTS le ordena a los navegadores web que usen siempre HTTPS? Esto mitigaría un ataque DNSSec-strip (similar a SSLStrip) Tampoco estoy claro si esto se...
hecha 27.03.2015 - 20:12
3
respuestas

¿Hay alguna manera de bloquear (o aprobar condicionalmente) los iFrames en el lado del cliente?

Dado que los iFrames se utilizan en muchas vulnerabilidades comunes , me gustaría deshabilitar condicionalmente los iFrames, excepto los sitios que lo requieren, como GMail , o < a href="https://security.stackexchange.com/a/31291/396"> MasterC...
hecha 05.03.2013 - 16:08
2
respuestas

¿Hay un equivalente de HSTS para especificar la versión TLS?

HSTS me permite forzar a los clientes a que se conecten a mi sitio web mediante HTTPS, pero no especifica la versión de SSL, TLS ni los cifrados que estoy prohibiendo. ¿Existe alguna alternativa o extensión de HSTS que me permita especificar...
hecha 12.09.2015 - 01:47
2
respuestas

¿Cuáles son los riesgos de seguridad del Bus de servicio y cómo los mitiga?

El Service Bus es un software que puede ser instalado en Windows o alquilado en Azure y permite que alguien transmita información SOAP / WCF a través de Internet en forma de un XML sobre una carga útil HTTPS. Un riesgo que veo es que esen...
hecha 22.11.2010 - 20:56