C’è qualcosa che non è banalmente irrisolvibile?
Non ho la crittografia Base64. Se si può decifrare una stringa Base64, qual è il suo scopo? Perché viene utilizzato per l’autenticazione HTTP Basic? È come dire a qualcuno che la mia password è invertita in OLLEH. Le persone che vedono OLLEH sapranno che la password originale era CIAO.
Capisco lo scopo di una flebo. Specificamente in modalità CBC, questo assicura che il primo blocco di 2 messaggi crittografati con la stessa chiave non sarà mai identico. Ma perché è una vulnerabilità se le IV sono sequenziali? Secondo CWE-329 NON-Random IV consente la possibilità di un attacco dizionario. So che in pratica protocolli come […]
Qualcuno ha esperienza pratica o un riferimento per uno schema che implementa uno schema di gestione delle chiavi conforms allo standard di sicurezza PCI DSS ? Ci sono ovviamente alcune implementazioni in giro dato il numero di aziende compatibili con PCI DSS ma cercare di trovare i dettagli di esse è difficile. Quando si passa […]
Le chiavi di licenza sono lo standard defacto come misura antipirateria. Ad essere onesti, questo mi colpisce come (in) Security Through Obscurity , anche se non ho idea di come vengano generate le chiavi di licenza. Qual è un buon esempio (sicuro) di generazione della chiave di licenza? Quale primitiva crittografica (se esiste) sta usando? […]
Supponiamo che tu fossi libero di decidere come memorizzare le password hash in un DBMS. Ci sono evidenti debolezze in uno schema come questo? Per creare il valore di hash memorizzato nel DBMS, prendi: Un valore che è univoco per l’istanza del server DBMS come parte del sale, E lo username come seconda parte del […]
Sto cercando di ingannare lo scopo di SecureString di .NET. Da MSDN: Un’istanza della class System.String è sia immutabile che, quando non più necessaria, non può essere pianificata in modo programmatico per la garbage collection; ovvero, l’istanza è di sola lettura dopo la sua creazione e non è ansible prevedere quando l’istanza verrà eliminata dalla […]
Qual è il metodo / tipo di dati preferito per la memorizzazione delle password in un database (preferibilmente SQL Server 2005). Il modo in cui lo sto facendo in molte delle nostre applicazioni è di usare prima le librerie di crittografia .NET e poi memorizzarle nel database come binari (16). È questo il metodo preferito […]
Recentemente mi sono imbattuto in un sistema in cui tutte le connessioni DB erano gestite da routine oscurate in vari modi, tra cui la codifica base 64, md5sum e varie altre tecniche. Sono solo io, o questo è eccessivo? Quali sono le alternative?
Sto osservando gli algoritmi di hashing, ma non sono riuscito a trovare una risposta. Bcrypt usa Blowfish Blowfish è migliore di MD5 Q: ma Blowfish è meglio di SHA512? Grazie.. Aggiornare: Voglio chiarire che capisco la differenza tra hashing e crittografia. Ciò che mi ha spinto a porre la domanda in questo modo è questo […]