Domande con tag 'design-flaw'

1
risposta

Crittografia di backup sicura con OpenSSL

Lo so, il consiglio generale è "tieni le mani fuori dalla criptografia". E il modo standard per crittografare i dati di backup in modo sicuro sarebbe utilizzare GnuPG. Tuttavia, per un esercizio piuttosto accademico, mi piacerebbe pensare a un p...
posta 12.08.2015 - 12:45
3
risposte

Quante informazioni sul motivo di un login non riuscito dovrebbe dare una domanda web?

Dopo un tentativo di accesso non riuscito, dovrei informare l'utente del suo motivo? O più in generale, quante informazioni sul motivo di un tentativo di accesso non riuscito dovrebbe dare una applicazione web? È abbastanza ovvio non informar...
posta 11.03.2013 - 10:05
3
risposte

In che modo i programmi impediscono la perdita di dati?

Ci sono molti programmi là fuori che offrono crittografia e gestione delle chiavi. Da quanto ho capito quando un file viene salvato su un disco rigido, a volte ci sono (spesso?) copie del file nella memoria e forse anche in altri punti del di...
posta 20.10.2016 - 15:48
5
risposte

L'utilizzo del numero di Google Voice per l'autenticazione a due fattori è un grosso errore?

L'autenticazione a due fattori sta crescendo in popolarità come misura di sicurezza. Ad esempio, Google, Facebook, Twitter e molti altri servizi hanno tutte le opzioni di sicurezza in due fasi oggi oltre a molte banche e cooperative di credito....
posta 22.03.2013 - 18:05
3
risposte

La funzione di "reimpostazione della password" del sito Web fornisce troppe informazioni?

Se un sito web ha una funzione di reimpostazione della password (che invierà al titolare dell'account un link di ripristino) , questa funzione rivela troppe informazioni consentendo a qualcuno di verificare chi detiene un account inserendo var...
posta 08.11.2012 - 12:10
1
risposta

Security-by-design basato su un framework esistente o su un design personalizzato?

Personalmente faccio la maggior parte dello sviluppo in PHP (il linguaggio di programmazione non ha molta importanza per questa domanda). I framework PHP più popolari lungo gli sviluppatori sono ad esempio: CodeIgniter Laravel Symfo...
posta 03.08.2016 - 13:49
1
risposta

Sfida: come trovare la chiave segreta in MAC homebrew / hash con chiave: sha1 (chiave + cookie)?

Sto cercando di risolvere una sfida di sicurezza su un sito web. Fondamentalmente, il sito web calcola sha1(key + cookie) per firmare un cookie in modo che l'utente non possa cambiarlo da solo, e per raggiungere l'obiettivo devi trovare...
posta 21.09.2015 - 12:05
2
risposte

Metodi per determinare se un bug del software è un rischio per la sicurezza?

Non voglio entrare nello specifico. Ho trovato un bug da un enorme fornitore di software. Come ogni altro utente responsabile, ho segnalato il bug al fornitore di software. È difficile stabilire se questo bug possa essere considerato un ri...
posta 11.01.2017 - 08:07
2
risposte

La possibilità di accedere alla pagina di accesso dopo l'autenticazione può essere considerata un difetto di sicurezza?

In uno degli ultimi impegni, mi sono imbattuto in qualcosa che non avevo mai visto prima: dopo un tentativo di autenticazione riuscito, l'utente può ancora accedere alla pagina web di accesso e accedere come un altro utente. Non sembrava esse...
posta 20.03.2016 - 20:58
1
risposta

Qualcuno sa come usare TRIKE?

TRIKE è una metodologia e uno strumento di modellazione delle minacce open source, come presentato dagli autori. Dopo aver provato diversi strumenti e metodologie di modellazione delle minacce, ho l'impressione che sia l'unica vera modellazion...
posta 28.09.2012 - 03:55