Domande con tag 'tls'

domande con tag
4
risposte

Le applet Java sono più sicure dei moduli regolari per l'accesso?

In Norvegia abbiamo qualcosa chiamato BankID che è una soluzione di login per banche e altre cose. Consiste (dal punto di vista degli utenti) di un applet Java in cui inserisci il tuo SSN (numero personale), un codice numerico generato una volta...
posta 05.09.2012 - 12:26
3
risposte

Denial of Service su servizi SSL

Quando avviene l'handshake SSL, c'è un punto in cui il lavoro computazionale svolto dal client è significativamente inferiore al lavoro di calcolo eseguito dal server? Potrebbe essere sfruttato tale squilibrio per produrre un DoS con maggiore...
posta 02.08.2012 - 12:31
2
risposte

Google Analytics su un sito protetto

leggi questo articolo su Google Analytics e il rischio di certificati falsi , dove è stato detto: Sooner or later it's going to happen; obtaining forged SSL certificates is just too easy to hope otherwise. What can we do about it? Don't lo...
posta 21.03.2012 - 21:33
6
risposte

Facile spiegazione dei certificati client SSL per uno sviluppatore

Ho pensato di utilizzare i certificati client per le mie app Web, sperando disperatamente che gli utenti attenti alla sicurezza mettessero la loro chiave privata su HSM in modo che non venissero rubati anche se la macchina fosse compromessa e il...
posta 17.02.2015 - 00:56
2
risposte

Rapporti Kitkat Android: "La rete può essere monitorata da una terza parte sconosciuta" quando si utilizza una CA radice non predefinita

La mia azienda utilizza un PKI privato per gestire tali scenari come Autorità reciproca (TLS) a un sito Web che utilizza i certificati client Certificati del server Web SSL su una rete Intranet (una volta stabilita una sessione VPN). Ema...
posta 23.06.2014 - 22:15
2
risposte

Perché il controllo dei referer è necessario per Django per prevenire CSRF

Oggi ho appreso che la protezione CSRF di Django utilizza il controllo di intestazione (r) er in aggiunta al controllo di un campo modulo nascosto contro un cookie. Sembra essere importante, a giudicare dai documenti e dal problema in basso....
posta 06.08.2015 - 21:53
1
risposta

DHE_DSS vs. DHE_RSA

Ho studiato per conoscere diverse suite di cifrari e le loro prestazioni; Mi sto interrogando sulla differenza tra DHE_DSS_AES256_CBC ciphersuites e DHE_RSA_AES256_CBC ciphersuites. Ho capito che il DSS è efficiente se confrontato con...
posta 22.03.2015 - 03:28
1
risposta

Quali sono le implicazioni per la sicurezza di abilitare un foro SNI su un server web?

Un server web (diciamo Apache 2.4) implementa SNI. È configurato con un certificato Wildcard firmato SHA384 a 4096 bit (* .land.org) con un nome soggetto alternativo (land.org). L'Autorità di certificazione ha un percorso attendibile per un cert...
posta 16.06.2015 - 03:05
1
risposta

Non è saggio usare Redis per memorizzare PII, chiavi private e altri segreti?

Sto rivedendo un sistema che sta usando Redis per archiviare tutti i segreti del client, le chiavi private e altre cose. Il problema è che Redis carica l'intero DB nella RAM Poiché SSL heartbleed , Rowhammer e altri hack sono noti per espo...
posta 22.03.2015 - 13:43
3
risposte

Rilevazione SSL VPN e possibilità di bloccare

È possibile determinare la differenza tra una VPN sulla porta 443 rispetto al traffico SSL standard? Per accedere ai siti Web SSL è necessario aprire la porta 443, ma se si imposta un servizio VPN sulla porta 443 è possibile effettuare la chi...
posta 21.09.2013 - 02:51