Ospitiamo il nostro sito sicuro con un certificato jolly. Tuttavia, stiamo lavorando con una società di marketing che fornisce pagine di destinazione sui sottodomini del nostro dominio, sugli indirizzi IP forniti dal loro isp. Potrebbero voler p...
Ha davvero senso usare i token anti-CSRF in un'applicazione web a cui si accede solo tramite HTTPS? Se sì, quali sono i modi possibili per attaccare una tale applicazione Web se i token anti-CSRF sono assenti?
Stavo leggendo questo articolo sui certificati fraudolenti di Comodo nel 2011. Parla della rappresentazione del dominio.
Capisco che un sito web fasullo potrebbe essere protetto con i certificati fraudolenti, ma il dominio non sarebbe ancor...
Se capisco correttamente il ruolo che un algoritmo di hashing (ad esempio SHA-1) gioca nei certificati TLS è il seguente:
La funzione di hashing viene applicata alla chiave pubblica di un soggetto.
La CA utilizza quindi la propria chiave p...
Per prima cosa: conosco la differenza tra crittografia end-to-end e crittografia di trasporto.
Torna al topic:
Ho già letto alcune cose su come il server di posta gestisce la crittografia del trasporto, ad es. Come puoi sapere se un'email è...
Diciamo che sto navigando in Internet usando Tor - visitando https://example.com/login.php - e che l'NSA sta operando sul nodo di uscita Tor che attualmente sono instradato per l'uso.
Può il relay di uscita NSA scambiare il certificato...
C'è HPKP (HTTP Public Key Pinning) che i server usano per comunicare al browser Web del cliente quali certificati considerare attendibili (in futuro) per il dominio che viene contattato.
Google Chrome e Mozilla's FireFox portano i loro elenchi...
Diciamo che Alice vuole usare un webservice su Bob.
Bob è in bob.in.wonderland.com
Alice apre una connessione a bob.in.wonderland.com:443 . Preso da DNS magic rabbit, Alice arriva sulla porta 443 a 69.64.156.40 .
Alice...