نوشته‌شده در

برنامه وب – بهترین راه برای ردیابی یک کاربر وارد شده چیست؟

ما یک برنامه سرویس گیرنده / سرور داریم که مشتری آن مرورگر است که برنامه جاوااسکریپت را اجرا می کند و طرف سرور یک برنامه ASP.NET است که یک API RESTful را ارائه می دهد.

ما در حال حاضر 1 نمونه سرور داریم، اما ما برنامه ریزی می کنیم برای قرار دادن سرورهای اضافی، بنابراین ما 1 در ایالات متحده، انگلستان و استرالیا هستیم. بعید است که ما نیاز به خوشه بندی داشته باشیم.

پس از وارد شدن کاربر در اتصال https، بهترین روش برای تأیید اینکه در درخواست های بعدی، یک شخص است؟ آیا ما می توانیم یک شی را به جلسه https اختصاص دهیم و ایمن فرض کنیم که این جلسه کاربر کلاینت باقی می ماند و باقی خواهد ماند تا سرور خاصی که وارد آن شده ایم گره خورده است؟

یا آیا ما باید چیزی اضافی انجام دهیم؟

نوشته‌شده در

وب سرور – مقادیر رمزگذاری شده در یک برنامه کاربردی

ما یک برنامه جاوا داریم و تیم امنیتی ما متوجه شده است که ما از الگوریتم امن برای رمزگذاری استفاده نمی کنیم. الگوریتم جدیدتر انتخاب شده است. با این حال، ما نمی توانیم به سادگی ارزشهای موجود در پایگاه داده تولید را دوباره رمزگذاری کنیم، ما می خواهیم بعضی از نسخه ها را اجرا کنیم، به عنوان مثال سوابق قدیمی با الگوریتم قدیمی تجزیه می شود، اما برای آنهایی که تازه تر هستند، ما از الگوریتم جدید استفاده خواهیم کرد. بنابراین ما نیاز به نوعی ساز و کاری برای تمایز بین پرونده های الگوریتم های قدیمی و جدید وجود دارد. ما در حال فکر کردن برای اضافه کردن یک مقدار رمزگذاری شده با نوعی علامت / برچسب برای نشان دادن آن با الگوریتم جدید رمزگذاری شده است.

سوالات عبارتند از: آیا خوب است؟ اگر چنین است، آیا می توانید بعضی از گزینه های خوب این علائم را توصیه کنید؟ اگر این رویکرد بد است، آیا می توانید یک توصیه بهتر را ارائه دهید؟

بسیار متشکرم، هر گونه کمک قدردانی می شود!

نوشته‌شده در

Asp.Net Web API استفاده صحيح از فدراسيون WS براي برنامه وب

امیدوارم این یک نسخه کامل نیست. من خواندن مقالات و فقط نمی تواند به طور کامل سر خود را در اطراف این بسته. بسیاری از مقالات به نظر می رسد که نظرات مختلفی دارند.

من یک برنامه وب (Spacing + Backend Web Api) ساختم. در حال حاضر یک راه اندازی IDP (SSO) وجود دارد که من برای شناسایی / ادعاها و یک توالی راه انداز مسیریابی را جستجو می کنم. من از یک حافظه پنهانی در سرور استفاده می کنم تا ادعاهای کاربر وارد شده را ثبت کند و تنها GUID را در کوکی client اجرا کند. Spa نیاز به استفاده از نشانه بوت استرپ (من معتقدم که این SAML 1.0 یا 1.1 است) به سرویس های دیگر برای دسترسی به منابع است، بنابراین من یک ردگیر HTTP را برای اضافه کردن آن نشانه زمانی که لازم است.

حالا، پس از خواندن برخی از مقالات من به سختی می دانم که بهترین روش برای محافظت از برنامه وب با WS-Fed چیست.

آیا من نیاز به استفاده از کوکی ها را دارم، یا می توانم از استفاده از Token برای تأیید اعتبار در back-end خود استفاده کنم؟ من واقعا هیچ ادعایی خاصی ندارم که نیاز به بررسی داشته باشم و تا زمانی که کاربر به سیستم SSO وارد شود و دارای یک نشانه ای باشد که قبلا می تواند بسیاری از خدمات دیگر را تحت تاثیر قرار دهد.

آیا نشانه ذخیره در Spa unsafe است؟ به نظر می رسد که حتی با حفاظت ضد جعل می شود.

کوکی هایی که من استفاده می کنم به نظر می رسد "کوکی های جلسه"، اما همه چیز به طوری انتزاعی است که من حتی نمی توانم بگویم که اگر من استفاده منظم کوکی یا یک کوکی جلسه. چگونه می توانم بگویم؟

آیا تا به حال باید برچسب SAML را به هدر های سرور اضافه کنم؟ من دیگر خدمات دیده ام این کار را انجام می دهم، اما اگر در یک جلسه حضور داشته باشیم، حساس نیستیم.

هر کس که صحبت کنم به نظر می رسد فقط کاری را انجام دهد که دیگران انجام می دهند و واقعا اهداف همه چيز. من می خواهم از آن بگذرم.

بنابراین، عملیات من در حال حاضر است:

  1. کاربر URL من را می بیند. قبل از استفاده از فایل های اسپا، او از طریق SSO هدایت می شود، ادعا می کند / بلیط در سرور قفل شده است.
  2. محدودیت زمانی در ادعا / بلیط بلیط ذخیره شده است.
  3. Spa بعد از ورود به سرویس گیرنده خدمت می شود
  4. یک GUID نماینده یک بلیط ذخیره شده به عنوان یک کوکی به مشتری منتقل می شود.
  5. مشتری درخواست SAML (bootstrap) token را ذخیره می کند و آن را در یک حافظه پنهان در مشتری ذخیره می کند.
  6. مشتری در هنگام صحبت کردن تنها از GUID در هدر استفاده می کند سرور من و با استفاده از نشانه SAML / bootstrap هنگام صحبت کردن با سرویس های دیگر.
  7. زمانی که محدودیت زمانی بر روی بلیط ذخیره شده سرور ذخیره می شود، سرور درخواست ها را از IDP درخواست می کند و اگر کاربر ناموفق باشد، کاربر را مجددا مجددا راه اندازی می کند. (آیا باید از Spas انجام شود تا سرور مجبور نشود)؟

نوشته‌شده در

برنامه وب – آیا هنگام استفاده از چارچوب محبوب (js) نگرانی های امنیتی وجود دارد؟

به چه میزان باید به چارچوب وب / js اعتماد کرد؟

اکثر چارچوب ها منبع باز هستند – توسعه یافته در باز. از این رو، بسیاری از مردم می توانند به صورت ناشناس متعهد به پروژه شوند. اعتبار سنجی انسان ممکن است فریب داده شود و مهاجم قادر به انجام برخی از کد های مضر است که پس از آن ناخواسته توسط برنامه نویس وب مورد استفاده قرار می گیرد، که تنها از لایه انتزاعی API استفاده می کند.

چطور چنین سناریویی واقع بینانه است؟ و کدام چنین کد کافی است؟

علاوه بر این، Angular و React توسط گوگل و فیس بوک آغاز شده و روند اصلاحی دقیق را دنبال می کنند. من در حال حاضر در چارچوب توسعه یافته توسط Alibaba و (به طور عمده) جامعه آزاد منبع چینی به دنبال است.

با توجه به شهرت نامطلوب محصولات فناوری چینی، دلیلی وجود دارد که به آن توجه شود؟ یا این فقط چیزی است که رسانه ها / سیاستمداران فشار می آورند؟

نوشته‌شده در

برنامه وب – اسکریپت CroxyProxy؟

اخیرا در این وبسایت به نام CroxyProxy آمده ام. این یک وب سایت پروکسی است که به شما اجازه می دهد تا سایت های پیشرفته و پیچیده مانند تروجان، یوتیوب، netflix و سایت های دیگر را که فایرفاکس، Glype و پروکسی های CGI معمولی بر روی آن کار می کنند، کنترل کنید. آیا کسی اسکریپت مورد استفاده را می داند؟ یا چگونه کار می کند؟ من تعجب می کردم که آیا اسکریپت امکان پذیر است – به طوری که اگر پرونده کروکسی پروکسی مسدود شود، شما می توانید نسخه خود را از پروکسی میزبانی کنید. من فقط این کار را انجام خواهم داد اگر قانون کپی رایت و غیره را نقض نکنید.

با تشکر