web-application – برگه 2 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

آگوست 27, 2018

چرا پیگیری تغییرات رمز عبور کاربر در برنامه وب را مشاهده می کنید؟

به دلایلی، به عنوان یک شیوه امنیتی * برای وب سایت ها برای پیگیری تغییرات رمز عبور تبدیل شده است. سایت هایی مانند گوگل حتی می توانند به شما بگویند که چند سال پیش رمز عبور خود را تغییر دادید. گذشته از فقط یادآوری شما که " گذرواژه خود را 10 ماه پیش تغییر داد … " آنها به جلو و حالت " آیا این شما بودید؟ حساب شما "

استدلال در پشت این – امنیت عاقلانه؟ اگر یک مهاجم 10 ماه قبل توانست رمز عبور خود را تغییر دهد، آیا منطقی است که او بتواند پس از آن حساب کاربری خود را بازیابی کند؟ اگر آنها می توانند رمز عبور خود را تغییر دهند، به این معنی که آنها می توانند تقریبا همه چیز را تغییر دهند که کاربر می تواند برای بازیابی حساب کاربری استفاده کند.

من فکر می کنم یک نقطه از این که چرا سایت ها نیاز به پیگیری تغییرات رمز عبور کاربر دارند را از دست ندهید. EDIT:
این وضعیت زمانی اتفاق می افتد که یک کاربر یک کلمه عبور اشتباه وارد کند که یک کلمه عبور داشت. به عنوان مثال، یک سایت یک مثال جدول کلمات عبور با مطالب زیر دارد:

 user_id | رمز عبور | تغییر کرد
---------------------------------
1 | بله | هرگز
---------------------------------
1 | بله بله | 2014/07/26
---------------------------------
1 | no blah | 01.01.2017
---------------------------------
2 | بله | هرگز

هنگامی که کاربر با user_id = 1 تلاش می کند با رمز ورود no blah وارد شوید، او یادآوری خواهد شد که او رمز عبور خود را در 2014/01/31 تغییر داد . اما زمانی که او با گذرواژه فعلی خود بلا وارد می شود، بدون هیچ مشکلی وارد سیستم می شود.

آگوست 26, 2018

برنامه وب – اگر رجیسترهای غیرقابل اعتماد از طرف سرور کنار گذاشته شوند، اگر از طریق document.createTextNode به داخل سند وارد شوند؟

Webapp چت. مشتریان (یعنی مرورگرهای وب) پیام هایی را به سرور ارسال می کنند که سرور آن را به تمام مشتریان مرتبط متصل می کند. کد مشتری به نظر می رسد مانند:

 اجازه دهید p = document.createTextNode ('p')
p.appendChild (document.createTextNode (پیام))
document.getElementById ('chatbox') appendChild (p)

از کجا پیام رشته دریافت شده از سرور است

مشکل در اینجا این است که به شدت توصیه میشود که داده های غیر قابل اطمینان سرور را ضدعفونی کنید تا قبل از قرار دادن آن درون سند با حذف شخصیت های خاص <، > ، ، و غیره) و جایگزینی آنها با نهادهای HTML مناسب است. به من گفته شد کد بالا برای XSS آسیب پذیر است اگر این ، ، ، ، ، ، کاراکترهای ویژه verbatim را نمایش می دهد و را نمی بینند و آنها را به صورت HTML می بینند. بنابراین ضدعفونی کردن سرور، تغییر کاراکترهای فوق به موجودات HTML باعث خواهد شد که مشتریان، نه شخصیت هایی که انسان ها قرار دارند


 به این ترتیب من اعتقاد ندارم که چنین اعتبار لازم است و درست نیست زمانی که  document.createTextNode ()  استفاده می شود. 
 با این حال، به من گفته شد که همیشه لازم است برای رفع نواقص سرور رشته ها. به من گفته شد که فرار از این صفات سرور  همیشه  ضروری است. در این صورت، من قصد داشتم از استفاده از  document.createTextNode ()  استفاده نکنم و به جای آن از  innerHTML  استفاده کنم؟ این به نظر من عجیب و غریب به نظر می رسد زیرا من همیشه فکر  innerHTML  را به عنوان یکی از  حداقل  ویژگی های امنیتی جاوا اسکریپت می دانم که نباید با محتوای نامعتبر استفاده شود.




		
		نوشته‌شده در آگوست 24, 2018
برنامه وب – اگر رمز عبور من بتواند بر روی فرم ارسال شده به خانه از مدرسه فرزند من، آیا این به معنای سیاست های ذخیره سازی رمز عبور ناامن است؟
	


	
	
		

 من یک حساب کاربری برای هر یک از فرزندانم در وب سایت خودم داشته ام که ثبت نام، نمرات، شناسایی و غیره را نظارت می کند. 
 من اخیرا یک کلاس از هر دو کلاس کلاس های فرزندم به خانه فرستاده ام که از ما برای ورود به ما حساب ها، بنابراین ما می توانیم فرم جدید تحصیلی امضاء کنیم. چاپ شده در این قطعه کاغذ، نام کاربری و رمز عبور حسابهای ما بود. 
 عملیات امنیتی ارسال رمزهای عبور خانگی خانگی بلافاصله دلسرد کننده است، اما نگرانی بزرگ من این است که چگونه رمز عبور من در سیستم منطقه ای ذخیره می شود (و در نهایت، چه اتفاقی می افتد اگر این سیستم به خطر افتاده باشد) 
 من می خواهم با مدیر وب تماس بگیرم، اما من می خواهم اطمینان حاصل کنم که در هر پیش فرض هایی که پیش از تیراندازی ایمیل هایم درست می کنم، درخواست می کنم که اقدام برای جلوگیری از چنین چیزی انجام شود. 

 
	


	



		
		نوشته‌شده در آگوست 23, 2018
باز کردن برنامه داخلی، اجاره وب برای چند مغازه / کارمندان
	


	
	
		
 من ایجاد یک برنامه وب برای استفاده داخلی در محل کار هستم. ساختار پایگاه داده رابطه ای اساسا پایه (مشتری، سفارش، فیلم، و غیره). این در مغازه های متعدد در سراسر شهر استفاده می شود. 
 بهترین روش برای افشای برنامه برای کارکنان چیست؟ شاید سرور VPN را پیکربندی کنید که به شبکه اجازه می دهد که در آن قسمت ورودی و backend در حال اجرا باشد؟ یا قرار دادن کل سرور در اینترنت عمومی؟ 
 
	


	



		
		نوشته‌شده در آگوست 22, 2018
برنامه وب – بهترین راه برای ردیابی یک کاربر وارد شده چیست؟
	


	
	
		

 ما یک برنامه سرویس گیرنده / سرور داریم که مشتری آن مرورگر است که برنامه جاوااسکریپت را اجرا می کند و طرف سرور یک برنامه ASP.NET است که یک API RESTful را ارائه می دهد. 
 ما در حال حاضر 1 نمونه سرور داریم، اما ما برنامه ریزی می کنیم برای قرار دادن سرورهای اضافی، بنابراین ما 1 در ایالات متحده، انگلستان و استرالیا هستیم. بعید است که ما نیاز به خوشه بندی داشته باشیم. 
 پس از وارد شدن کاربر در اتصال https، بهترین روش برای تأیید اینکه در درخواست های بعدی، یک شخص است؟ آیا ما می توانیم یک شی را به جلسه https اختصاص دهیم و ایمن فرض کنیم که این جلسه کاربر کلاینت باقی می ماند و باقی خواهد ماند تا سرور خاصی که وارد آن شده ایم گره خورده است؟ 
 یا آیا ما باید چیزی اضافی انجام دهیم؟ 

 
	


	


	
		راهبری نوشته‌ها
		برگه قبلی
برگه 1
برگه 2
برگه 3
…
برگه 13
برگه بعدی