Domande con tag 'threat-mitigation'

domande con tag
1
risposta

Non è saggio usare Redis per memorizzare PII, chiavi private e altri segreti?

Sto rivedendo un sistema che sta usando Redis per archiviare tutti i segreti del client, le chiavi private e altre cose. Il problema è che Redis carica l'intero DB nella RAM Poiché SSL heartbleed , Rowhammer e altri hack sono noti per espo...
posta 22.03.2015 - 13:43
1
risposta

Attenuazione del nuovo attacco su WPA2 che coinvolge PMKID

È stato scoperto un nuovo attacco che consente di decifrare una passphrase WPA2 senza la necessità di acquisire l'handshake a 4 vie. Sebbene ciò non indebolisca la password stessa, vuol dire che un utente malintenzionato può iniziare i suoi te...
posta 05.08.2018 - 05:14
1
risposta

Incoerenze rilevate nelle intestazioni HTTP del provider OpenID. Qual è il più sicuro che dovrei imitare nel mio STS e Relying Party?

Sto confrontando le intestazioni HTTP dei vari provider (LiveID, Google, Yahoo, ecc.) e notiamo un'ampia incoerenza nell'implementazione nella pagina di accesso, nella pagina di disconnessione e nelle pagine successive. What headers should...
posta 29.10.2011 - 09:09
2
risposte

Come continuare a utilizzare Java 6 in modo sicuro, nonostante le vulnerabilità di unpatch

Dato che Java 6 ora è deprecato da Oracle e di recente c'è stata una notifica di a 0day (che esisterà per sempre ora che Oracle non stia correggendo JRE6), cosa possiamo fare per prevenire lo sfruttamento drive-by di Java nei nostri browser?...
posta 04.03.2013 - 10:48
2
risposte

Le linee guida per l'hardening di Exchange raccomandano di disabilitare OWA Webready? Dovrebbero?

Per la quarta volta in oltre un anno, Exchange OWA ha messo a rischio la nostra rete interna a causa di un difetto di esecuzione del codice remoto esistente sul runtime del server. Questo rischio è aggravato dal fatto che Microsoft non supporte...
posta 15.08.2013 - 03:31
1
risposta

Sono stati scoperti in natura virus che sfruttano la GPU? Qual è la mitigazione?

Questo articolo di notizie del 2010 illustra come una GPU può essere utilizzata da un virus per evitare il rilevamento da parte del comune software anti-malware / anti-virus. L'idea è di offuscare il carico utile del virus e sfruttare la poten...
posta 15.12.2012 - 17:05
2
risposte

Esiste un equivalente HSTS per DNSSec?

C'è un modo per impostare un criterio DNSSec sempre simile al modo in cui i HSTS comanda ai browser Web di utilizzare sempre HTTPS? Questo attenuerebbe un attacco alla striscia DNSSec (simile a SSLStrip) Inoltre non sono chiaro se ciò si a...
posta 27.03.2015 - 20:12
3
risposte

Esiste un modo per bloccare (o approvare condizionatamente) iFrame sul lato client?

Dato che iFrames sono utilizzati in molti exploit comuni , mi piacerebbe disabilitare gli iFrame condizionatamente ad eccezione dei siti che lo richiedono come GMail o < a href="https://security.stackexchange.com/a/31291/396"> MasterCard Secu...
posta 05.03.2013 - 16:08
2
risposte

Esiste un equivalente HSTS per specificare la versione TLS?

HSTS mi consente di forzare i client a connettersi al mio sito web usando HTTPS, ma non specifica la versione di SSL, TLS o quali cifrature sto proibendo. C'è qualche alternativa o estensione HSTS che mi permetta di specificare Versione m...
posta 12.09.2015 - 01:47
2
risposte

Quali sono i rischi per la sicurezza del bus di servizio e come li mitigate?

Il bus di servizio è un software che può essere installato su Windows o noleggiato in Azure e consente a qualcuno di ritrasmettere informazioni SOAP / WCF su Internet sotto forma di un carico utile XML su HTTPS. Un rischio che vedo è che...
posta 22.11.2010 - 20:56