Articles of seguridad

¿Cuál es la diferencia entre un archivo cer, pvk y pfx?

¿Cuál es la diferencia entre un archivo cer, pvk y pfx? Además, ¿qué archivos guardo y qué se espera que les dé a mis contrapartes?

La seguridad MD5 está bien?

Soy nuevo en la encoding así que tal vez me he perdido el punto de qué se trata md5. Pero por lo que he experimentado el cifrado MD5 es “estático” para cada palabra. Por estático quiero decir que siempre encontrarás el mismo resultado, por ejemplo md5 (“hola”). Y esto me hace pensar que es altamente […]

Manejo de excepciones crypto

Esta pieza de código bastante básica es bastante común cuando se maneja el cifrado / descifrado en Java. final Cipher cipher = Cipher.getInstance(“AES/CBC/NoPadding”); cipher.init(Cipher.ENCRYPT_MODE, key, iv); cipher.doFinal(*something*); Estas tres líneas solo, potencialmente arrojan seis excepciones y no estoy seguro de cuál es la forma más limpia (en términos de legibilidad de código) para manejarlas. Una […]

Contraseña segura Hashing

Necesito almacenar un hash de una sola contraseña en una aplicación .Net WinForms. ¿Cuál es la forma más segura de hacer esto? En particular: Sal, HMAC, o ambos? ¿Cuánta sal? ¿Cuántas iteraciones? ¿Qué encoding? (La contraseña es simple ASCII) Supongo que el algoritmo debe ser SHA512 o HMACSHA512.

¿Cuáles son los parámetros AES utilizados y los pasos realizados internamente por crypto-js al cifrar un mensaje con una contraseña?

Antecedentes: se supone que la aplicación en la que estoy trabajando funciona sin conexión. Debería encriptar algunos datos de texto usando una contraseña como clave en el lado del servidor de Java. Los datos cifrados se pasan a la página HTML5 y al lado del cliente utilizando la biblioteca crypto-js, los datos cifrados del servidor […]

Demasiados datos para el bloque RSA fallan. ¿Qué es PKCS # 7?

Hablando de javax.crypto.Cipher Intentaba cifrar datos usando Cipher.getInstance(“RSA/None/NoPadding”, “BC”) pero obtuve la excepción: ArrayIndexOutOfBoundsException: demasiados datos para el bloque RSA Parece que hay algo relacionado con el “NoPadding”, por lo tanto, al leer sobre el relleno, parece que CBC es el mejor enfoque para usar aquí. Encontré en google algo sobre “RSA / CBC / […]

¿Cómo deshabilitar el administrador de seguridad de Java?

¿Hay alguna manera de deshabilitar completamente el administrador de seguridad de Java? Estoy experimentando con el código fuente de db4o. Utiliza la reflexión para persistir objetos y parece que el administrador de seguridad no permite que la reflexión lea y escriba campos privados o protegidos. Mi código: public static void main(String[] args) throws IOException { […]

¿Qué caracteres deben escaparse para evitar (My) inyecciones de SQL?

Estoy usando la función de API de MySQL mysql_real_escape_string() Según la documentación, escapa a los siguientes caracteres: \0 \n \r \ ‘ ” \Z Ahora, busqué en la biblioteca de seguridad ESAPI de OWASP.org y en el puerto de Python que tenía el siguiente código ( http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql. py ): “”” Encodes a character for MySQL. […]

Solicitud de bloque para múltiples inicios de sesión fallidos por un período de tiempo

Tengo un sitio web y quiero bloquear la solicitud de los BOTs e bash de iniciar sesión con fuerza bruta en mi sitio web. Ahora estoy usando la Session para almacenar el bash de inicio de sesión y mostrar el captcha después de 3 inicios de sesión fallidos, pero hay un problema. La sesión se […]

¿Vale la pena cifrar las direcciones de correo electrónico en la base de datos?

Ya estoy usando hashing salado para almacenar contraseñas en mi base de datos, lo que significa que debería ser inmune a los ataques de tabla rainbow . Sin embargo, pensé: ¿y si alguien consigue mi base de datos? Contiene las direcciones de correo electrónico de los usuarios. Realmente no puedo hacer hash, porque los usaré […]