Si utilizamos VirtualHosts basados en nombre en nuestro frontal web -cosa que suele estar a la orden del día, en primer lugar para ahorrar IPs- debemos tener en cuenta ciertas consideraciones si comprobamos nuestros certificados con OpenSSL. En una arquitectura como la mencionada, un servidor web Apache o Nginx puede alojar múltiples sitios web (dominios)… Read More »
Hace tiempo que se trató en el blog el tema de los algoritmos MD5, SHA-1, SHA-2… Tras conocerse recientemente la primera colisión de hash del algoritmo SHA-1, éste ya está en el punto de mira y tenemos que comenzar a plantearnos el cambio a algoritmos más seguros como SHA-2.
A veces es un error humano, otras la debilidad inherente de un determinado sistema o infraestructura… En cualquier caso, podemos tomar medidas para evitar desastres como el que leí recientemente de D-Link, en el que a alguien se le fue la pinza y publicó la clave utilizada para la firma digital del software legítimo de… Read More »
Tener las consolas de Jboss (JMX, web console, admin console, jbossws…) protegidas por contraseña es una medida esencial de seguridad del servidor de aplicaciones para evitar que información sensible del servidor de aplicaciones esté a la vista de todo el mundo. El problema es que la securización básica deja las contraseñas tal cual las pusimos… Read More »
Con ese nombre podría referirse perfectamente a un concurso cutre de televisión pero no, se trata de una nueva vulnerabilidad SSL/TLS, que viene sembrado ya desde el año pasado. La naturaleza de este problema se trata de una vulnerabilidad fruto del uso de suites de cifrado débiles que consecuentemente son fáciles de descifrar en un… Read More »