Tutte le riserve sulla mancata protezione di SecureString mediante la creazione di un System.String out di esso, come può essere fatto? Come posso convertire un ordinario System.Security.SecureString in System.String? Sono sicuro che molti di voi che hanno familiarità con SecureString risponderanno che non si dovrebbe mai trasformare un SecureString in una normale stringa .NET perché […]
Quali sono le fonti più sicure di entropia per seminare un generatore di numeri casuali? Questa domanda è indipendente dalla lingua e dalla piattaforma e si applica a qualsiasi macchina su una rete. Idealmente sto cercando fonti disponibili per una macchina in un ambiente cloud o server fornito da una società di hosting. Ci sono […]
Ho un requisito aziendale che mi obbliga a memorizzare i dati completi della carta di credito di un cliente (numero, nome, data di scadenza, CVV2) per un breve periodo di tempo. Motivazioni: se un cliente chiama per ordinare un prodotto e la sua carta di credito viene rifiutata sul posto, è probabile che tu perda […]
C’è qualcosa che non è banalmente irrisolvibile?
Non ho la crittografia Base64. Se si può decifrare una stringa Base64, qual è il suo scopo? Perché viene utilizzato per l’autenticazione HTTP Basic? È come dire a qualcuno che la mia password è invertita in OLLEH. Le persone che vedono OLLEH sapranno che la password originale era CIAO.
Capisco lo scopo di una flebo. Specificamente in modalità CBC, questo assicura che il primo blocco di 2 messaggi crittografati con la stessa chiave non sarà mai identico. Ma perché è una vulnerabilità se le IV sono sequenziali? Secondo CWE-329 NON-Random IV consente la possibilità di un attacco dizionario. So che in pratica protocolli come […]
Qualcuno ha esperienza pratica o un riferimento per uno schema che implementa uno schema di gestione delle chiavi conforms allo standard di sicurezza PCI DSS ? Ci sono ovviamente alcune implementazioni in giro dato il numero di aziende compatibili con PCI DSS ma cercare di trovare i dettagli di esse è difficile. Quando si passa […]
Le chiavi di licenza sono lo standard defacto come misura antipirateria. Ad essere onesti, questo mi colpisce come (in) Security Through Obscurity , anche se non ho idea di come vengano generate le chiavi di licenza. Qual è un buon esempio (sicuro) di generazione della chiave di licenza? Quale primitiva crittografica (se esiste) sta usando? […]
Supponiamo che tu fossi libero di decidere come memorizzare le password hash in un DBMS. Ci sono evidenti debolezze in uno schema come questo? Per creare il valore di hash memorizzato nel DBMS, prendi: Un valore che è univoco per l’istanza del server DBMS come parte del sale, E lo username come seconda parte del […]
Sto cercando di ingannare lo scopo di SecureString di .NET. Da MSDN: Un’istanza della class System.String è sia immutabile che, quando non più necessaria, non può essere pianificata in modo programmatico per la garbage collection; ovvero, l’istanza è di sola lettura dopo la sua creazione e non è ansible prevedere quando l’istanza verrà eliminata dalla […]