Preguntas con etiqueta 'tls'

preguntas con etiqueta
4
respuestas

Están llegando nuevos gTLD. ¿Cómo manejarán los navegadores las cookies, SOP y certificados?

Dado que la "zona" de seguridad varía según el TLD, ¿cómo se manejará el nuevo TLS? Por ejemplo: un navegador puede permitir que se compartan cookies, certificados SSL y certificados comodín company.com (dos capas de profundidad...
hecha 12.08.2013 - 19:36
1
respuesta

¿Por qué IE / Windows lo obliga a instalar certificados autofirmados como CA raíz para que funcionen?

En versiones anteriores de IE / Windows, podría instalar un certificado autofirmado para un sitio web y simplemente funcionó: las advertencias desaparecieron. En versiones más recientes (y con Chrome) esto simplemente no funcionó. La única fo...
hecha 07.08.2013 - 11:39
1
respuesta

¿Qué protección adicional se agrega a una API REST sobre HTTPS mediante el uso de algún tipo de HMAC?

Estoy diseñando una API RESTFUL que siempre se usará a través de HTTPS. ¿Qué ventajas de seguridad sobre el uso de HTTP Basic Auth podrían llevarse a mi sistema al usar este tipo de códigos de autenticación de mensajes? El ejemplo de HMAC p...
hecha 05.09.2013 - 03:30
2
respuestas

¿Cómo puedo asegurar mi api para evitar copiar?

Estoy creando una aplicación que debería recibir datos de mi servidor. El Api debe ser un script basado en PHP que proporcione los datos como JSON. Sin embargo, quiero mantener la privacidad de los datos y solo debería ser accesible por la prop...
hecha 24.08.2014 - 16:46
2
respuestas

¿Cómo evitar la fijación de sesión (CSRF de inicio de sesión) por el ataque MitM sin HSTS?

Estoy escribiendo una aplicación web que ya usa conexiones cifradas TLS (HTTPS), cookie de sesión Secure; HttpOnly , token CSRF HMAC-SHA1, requiere el encabezado Referer correcto para evitar el inicio de sesión CSRF y cambia la iden...
hecha 03.09.2014 - 10:36
1
respuesta

¿Es lo suficientemente seguro tener un GUID en una URL https? [duplicar]

¿Es lo suficientemente seguro tener un GUID en una URL https? ¿Existe algún riesgo de seguridad al utilizar esta forma de autenticar usuarios? enlace También se pueden tomar medidas para hacer que este tipo de URL sea más seguro.     
hecha 16.10.2014 - 16:25
3
respuestas

SSL forjado sin instalación de CA raíz, ¿es posible?

Considera visitar un sitio web seguro como Gmail. ¿Es posible falsificar el certificado del sitio web solo con el control total del proveedor de Internet? Quiero decir, ¿es prácticamente posible que un proveedor sin acceso a la máquina del us...
hecha 23.12.2012 - 22:09
1
respuesta

Usando Encrypt-then-MAC en SSL

SSL normalmente utiliza la técnica MAC-then-Encrypt en lugar de Encrypt-then-MAC (que generalmente se considera ideal para la mayoría de los escenarios). Yo mismo no tengo un conocimiento completo sobre los méritos y desventajas de ambas téc...
hecha 21.03.2014 - 18:25
1
respuesta

Certificados SSL publicados en el informe APT1 de Mandiant

Probablemente escuchó sobre el excelente informe "APT1: Exponer una de las unidades de ciberespionaje de China" publicado por la compañía Mandiant (puede descargarlo aquí ). El informe es excelente y lo recomiendo a cualquier persona interesada...
hecha 13.03.2013 - 15:43
1
respuesta

¿Cómo un adaptador de red "falso" roba las credenciales?

He leído que los dispositivos que parecen unidades flash USB pueden ser tarjetas de red ocultas que luego pueden robar credenciales incluso cuando la pantalla está bloqueada. (Como el Bash Bunny) Comprendo que al ser la red , pueden enviar t...
hecha 19.02.2018 - 13:48