نوشته‌شده در

وب سرور – مقادیر رمزگذاری شده در یک برنامه کاربردی

ما یک برنامه جاوا داریم و تیم امنیتی ما متوجه شده است که ما از الگوریتم امن برای رمزگذاری استفاده نمی کنیم. الگوریتم جدیدتر انتخاب شده است. با این حال، ما نمی توانیم به سادگی ارزشهای موجود در پایگاه داده تولید را دوباره رمزگذاری کنیم، ما می خواهیم بعضی از نسخه ها را اجرا کنیم، به عنوان مثال سوابق قدیمی با الگوریتم قدیمی تجزیه می شود، اما برای آنهایی که تازه تر هستند، ما از الگوریتم جدید استفاده خواهیم کرد. بنابراین ما نیاز به نوعی ساز و کاری برای تمایز بین پرونده های الگوریتم های قدیمی و جدید وجود دارد. ما در حال فکر کردن برای اضافه کردن یک مقدار رمزگذاری شده با نوعی علامت / برچسب برای نشان دادن آن با الگوریتم جدید رمزگذاری شده است.

سوالات عبارتند از: آیا خوب است؟ اگر چنین است، آیا می توانید بعضی از گزینه های خوب این علائم را توصیه کنید؟ اگر این رویکرد بد است، آیا می توانید یک توصیه بهتر را ارائه دهید؟

بسیار متشکرم، هر گونه کمک قدردانی می شود!

نوشته‌شده در

برنامه وب – چرا سیاست همان مبدا بر اساس نام میزبان و نه در IP است؟

سیاست منشاء همان، محدود کردن یک صفحه برای دسترسی به یک سند دیگر از دسترسی به داده ها است. از آنجا که آنها منشا متفاوت دارند که در آن SOP منشا را به شرح زیر تعریف می کند.

منشاء به عنوان پروتکل، نام میزبان و پورت تعریف شده است. اگر صفحه یا سند وجود دارد پس SOP به آن اعمال می شود اگر آن را با این سه مطابقت کند.

من به عنوان تعجب

چرا SOP بر اساس نام میزبان، نه بر روی آدرس آی پی است

اگر SOP بر اساس آدرس IP بر اساس آدرس IP باشد، چه مسائلی وجود دارد؟ در حال حاضر SOP می تواند با استفاده از DNS مورد حمله قرار گیرد که در آن مجددا حمله مجرمان می خواهد دسترسی به شبکه در پشت فایروال را به دست آورد و سوء استفاده از DNS به منظور دور زدن SOP.

نوشته‌شده در

وب – ایجاد مخزن انتشار ناشناس -> آیا این ایده امکان پذیر است؟

شاید این سوال بیشتر مربوط به SE باشد، اما خطر امنیتی بیشتر به من مربوط می شود، بنابراین من آن را اینجا قرار می دهم.

من می خواهم یک مخزن را پشتیبانی می کند که از توابع زیر است:

  1. انتشار ناشر را امن نگه دارد؛ (ناشناس)
  2. فرایند git مانند را که از ترجمه / بازنگری مقالات پشتیبانی می کند،
  3. فراداده ها (تصویر، ویدئو، و غیره) نباید مشکل SPF داشته باشند؛
  4. وب سایت / IP نباید به آسانی فایروال بزرگ چینی مسدود شده است.

من چنین ایده ای دارم چون دو نیاز را افزایش می دهم:
1. تعداد زیادی از مردم CN از سوی CN GOV سرکوب شده اند، اما از این جهت آنها برای کمک به آنها وجود ندارد.
2. بیشتر اطلاعاتی که ارسال کرده اند به زبان چینی نوشته شده اند، نه به خوبی سازماندهی شده اند
3. روزنامه نگاران خارجی بعضی اوقات با محتوای اصلی اشتباه گرفته یا نادیده گرفته می شوند.

اساسا این است که در مورد پیدا کردن یک پلت فرم است که خطر ناشران را به حداقل برساند و از آنجاییکه بیشتر یا نادیده گرفتن آنها در مورد امنیت فناوری اطلاعات نادیده گرفته شود، که در بیشتر موارد آنها را به خطرات بیشتر تبدیل می کند

هر گونه پیشنهاد عالی خواهد بود ..

نوشته‌شده در

http – نوعی از CSRF ممکن است با استفاده از برچسب img برای خواندن اطلاعات حساس باشد

بگذارید بگوییم یک API در https: // mysite / api / getSensitiveData که در GET کار می کند و با کوکی محافظت می شود و برخی از بدی ها یک سایت را روی سرور خود ایجاد می کند که یک برچسب تصویر دارد:

اکنون مرورگر این درخواست را اجرا می کند و کوکی ها را ارسال می کند و داده ها بارگیری می شود (تا آنجا که من حداقل می دانم) و پس از آن که هیچ تصویری نمایش داده نخواهد شد.

اما درخواست در سایت اجرا شد جایی که یک پسر بد جاوا اسکریپت را کنترل می کند. آیا راهی وجود دارد که پاسخ را بتوان از تصویر، برخی از پروسه های درخواست یا روش دیگری خواند؟

P.S. شاید برخی از امکانات مشابه دیگر وجود دارد، لزوما IMG برچسب نیست؟