Para preguntas relacionadas con la criptografía y la seguridad informática. Esto puede ser seguridad de la computadora, la red o la base de datos.
Quiero exponer un recurso en la web. Quiero proteger este recurso: asegurarme de que solo sea accesible para ciertas personas. Podría configurar algún tipo de autenticación basada en contraseña . Por ejemplo, solo podría permitir el acceso al recurso a través de un servidor web que verifica las...
Conozco a algunas personas que actualmente están trabajando en un proyecto para el ejército de los EE. UU. (Nivel de seguridad bajo, datos de tipo de recursos humanos sin combate). Se envió un estado inicial del código del proyecto a los militares para su revisión, y ejecutaron el programa a...
Alguien me ha contratado para hacer un pequeño trabajo en un sitio. Es un sitio para una gran empresa. Contiene datos muy confidenciales, por lo que la seguridad es muy importante. Al analizar el código, me di cuenta de que está lleno de agujeros de seguridad: lectura, muchos archivos PHP que...
Todavía estoy tratando de encontrar la mejor solución de seguridad para proteger la API REST, porque la cantidad de aplicaciones móviles y API aumenta cada día. He intentado diferentes formas de autenticación, pero todavía tengo algunos malentendidos, por lo que necesito el consejo de alguien más...
¿Cómo me aseguro de que mi API REST solo responda a solicitudes generadas por clientes confiables, en mi caso, mis propias aplicaciones móviles? Quiero evitar solicitudes no deseadas procedentes de otras fuentes. No quiero que los usuarios completen una clave de serie o lo que sea, debería suceder...
Tengo un formulario de correo electrónico del sitio web. Utilizo un CAPTCHA personalizado para evitar el spam de los robots. A pesar de esto, sigo recibiendo spam. ¿Por qué? ¿Cómo vencen los robots al CAPTCHA? ¿Utilizan algún tipo de OCR avanzado o simplemente obtienen la solución de donde está...
¿Por qué parece tan fácil piratear hoy? Parece un poco difícil de creer que con todos nuestros avances tecnológicos y los miles de millones de dólares gastados en la ingeniería del software más increíble y alucinante, todavía no tenemos otro medio de protección contra la piratería que un "número...
Posible duplicado: escritura de aplicaciones web "sin servidor" Entonces, digamos que voy a construir un clon de Stack Exchange y decido usar algo como CouchDB como mi tienda de back-end. Si utilizo su autenticación integrada y autorización a nivel de base de datos, ¿hay alguna razón para...
Tengo una aplicación empresarial en ejecución que utiliza almacenes de datos MySQL y MongoDB . Mi equipo de desarrollo tiene acceso SSH a la máquina para realizar lanzamientos de aplicaciones, mantenimiento, etc. Recientemente planteé un riesgo en el negocio cuando los usuarios comenzaron a...
A mi modo de ver, los ataques de inyección SQL se pueden prevenir mediante: Selección, filtrado y codificación de entrada cuidadosamente (antes de la inserción en SQL) Uso de declaraciones preparadas / consultas parametrizadas Supongo que hay pros y contras para cada uno, pero ¿por qué el n. °...
En mi educación me han dicho que es una idea defectuosa exponer las claves primarias reales (no solo las claves DB, sino todos los accesos primarios) al usuario. Siempre pensé que era un problema de seguridad (porque un atacante podría intentar leer cosas que no fueran suyas). Ahora tengo que...
Hay muchos sitios en Internet que requieren información de inicio de sesión, y la única forma de protegerse contra la reutilización de contraseñas es la "promesa" de que las contraseñas se cifran en el servidor, lo que no siempre es cierto. Entonces, me pregunto, ¿qué tan difícil es crear una...
Tengo un poco de discusión en mi lugar de trabajo y estoy tratando de averiguar quién tiene la razón y qué es lo que hay que hacer. Contexto: una aplicación web de intranet que nuestros clientes usan para contabilidad y otras cosas de ERP. Soy de la opinión de que un mensaje de error presentado...
Estoy tratando de entender la compensación inherente entre roles y permisos cuando se trata de control de acceso (autorización). Comencemos con un hecho: en nuestro sistema, un Permiso será una unidad de acceso específica (" Editar recurso X ", " Acceder a la página del tablero ", etc.). Un Rol...
Supongamos que estoy revisando el código que envían los solicitantes de empleo para demostrar sus habilidades. Claramente, no quiero ejecutar ejecutables que envían. No es tan claro que prefiero no ejecutar el resultado de la compilación de su código (solo, por ejemplo, Java permite ocultar el...
Al formarse opiniones, es una buena práctica seguir la tradición escolar: piense lo más que pueda en contra de la opinión que tenga e intente encontrar argumentos en contra. Sin embargo, no importa cuánto lo intente, simplemente no puedo encontrar argumentos razonables a favor del antivirus (y las...
He encontrado bastantes sitios que limitan la longitud que permiten que las contraseñas sean y / o no permiten ciertos caracteres. Eso me limita, ya que quiero ampliar y alargar el espacio de búsqueda de mi contraseña. También me da una sensación incómoda de que podrían no ser hash. ¿Existen...
Comencé a registrar intentos de inicio de sesión fallidos en mi sitio web con un mensaje como Failed login attempt by qntmfred He notado que algunos de estos registros se ven como Failed login attempt by qntmfredmypassword Supongo que algunas personas tuvieron un inicio de sesión fallido porque...
Mientras trabajaba en un proyecto para mi empresa, necesitaba desarrollar una funcionalidad que permitiera a los usuarios importar / exportar datos hacia / desde el sitio de nuestro competidor. Mientras hacía esto, descubrí una vulnerabilidad de seguridad muy seria que podría, en resumen, ejecutar...
¿Todavía vale la pena proteger nuestro software contra la piratería? ¿Existen formas razonablemente efectivas para prevenir o al menos dificultar la