Anche se molti certificati SSL hanno vantato garanzie stravaganti - in genere circa $ 10k minimo a $ 250k per violazione - per garantire che i loro certificati siano validi, fino ad oggi, ho sentito che non c'è mai stato un singolo pagamento dov...
HTTPS è soggetto a numerosi attacchi MITM, questo è chiaro. Tuttavia penso che sarebbe utile per il pubblico ITSec se ci fosse un modo per forzare un determinato comportamento del browser quando si accede a siti conosciuti di fiducia.
In base...
A mio avviso, l'autenticazione del certificato client non è particolarmente complessa da implementare e presenta numerosi vantaggi rispetto all'autenticazione della password
Il segreto (chiave privata) non deve mai lasciare il computer clien...
Versione breve
Come posso determinare la versione Java di un server remoto in esecuzione se ho solo accesso al server tramite la porta 443?
Versione lunga
Sto convalidando una corsa pentest da un altro gruppo. Hanno trovato un messa...
Ho un servizio Windows e un servizio Web che tenta di effettuare una chiamata al servizio web su TLS. Ho configurato i certificati in MMC e sono in grado di connettermi correttamente utilizzando il servizio web. Tuttavia, quando provo a effettua...
Ho il Patrol certificato addon ( sito web ) installato in Firefox. Mentre per lo più ignoro i (troppi) avvertimenti, oggi ho visto che l' autorità di certificazione per il mio sito web personale è cambiata. Questo certificato è stato creato...
Due domande:
Ho recentemente iniziato a creare un web server Go di base e ho notato che l'API per l'avvio di un server Web TLS non supporta una chiave RSA privata simmetricamente crittografata. L'API è inclusa di seguito e collegata qui :...
Capisco il rovescio della medaglia di questo attacco e cosa può essere fatto male.
Ma non capisco come è fatto?
Bene, ho bisogno di educare me stesso, qualsiasi suggerimento sarebbe utile.
Da un punto di vista della sicurezza, va bene leggere i cookie stranieri (non attendibili) (di terze parti su Internet) sulla rete interna (di fiducia), o dovresti leggerli solo all'interno delle aree DMZ del tuo ambiente di rete ?
Il motivo...
Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0)
Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP.
Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su e...