نرم افزار وب – پیامدهای SSN به طور مختصر در ارتباط با یک سرور
من باید با خیال راحت یک SSN را به نوار خط از یک صفحه وب منتقل کنم. (ما برای پیمانکاران ما مالیات می دهیم)
من آگاه هستم که ذخیره SSN یک ایده خوب نیست. ما لازم نیست خط خطی میتواند آن را اداره کند، اما من نمیتوانم از یک مرورگر با استفاده از خط کش کلید خصوصی از خطمشی خود برای ایجاد نوار اتصال استفاده کنیم. این کلید نباید در React، JS یا هر چیز دیگری که در آن می توان خواند، بارگیری شود.
بنابراین می توانم SSN را به سرورم ارسال کنم و سپس آن را به پشت صحنه ببرم … اما آن بدین معنی است که SSN سرور را لمس می کند … مجددا تأیید می کنم که SSN ذخیره نمی شود. آیا این به من در مورد مسائل حقوقی یا تعهدات قانونی مراجعه می کنم؟ من باید از آثار دیگر آگاه باشم؟
رمزگذاری دیسک – ارتباط بین Windows BitLocker و Hasleo BitLocker Anywhere چیست؟
در حالی که با استفاده از گزینه های BitLocker که در صفحه اصلی ویندوز 10 کار می کنند، محصولی با عنوان BitLocker Anywhere از Hasleo پیدا کردم. از آنجاییکه از چنین نامهای مشابه استفاده می کردند، سعی کردم در مورد اینکه آیا آنها مرتبط هستند، استفاده می شود.
آیا این محصول کاملا جداگانه و رقابتی است (و اگر چنین است، چگونه با چنین نقض علامت تجاری آشنا شدید؟) یا واقعا همان نرم افزار به نوعی بسته بندی شده؟
شبکه – آیا سازمانها به کارکنان خود اجازه می دهند با نرم افزار VPN از لپ تاپ های خود به دستگاه خود در محل کار ارتباط برقرار کنند؟
از ویکیپدیا:
A شبکه خصوصی مجازی (VPN) یک شبکه خصوصی را در یک شبکه عمومی گسترش می دهد و کاربران را قادر می سازد تا از طریق شبکه های مشترک یا عمومی ارسال و دریافت اطلاعات را مانند دستگاه های کامپیوتری خود به طور مستقیم به شبکه خصوصی متصل شده است.
وضعیتی که شما توضیح می دهید متفاوت از مراجعه به کامپیوتر بازی من نیست (که بدون شک پر از ویروس است)، آوردن آن به دفتر و اتصال آن به یک کابل اترنت. خوشبختانه ویروس ها از طریق شبکه شرکت پخش می شوند:)
به همین دلیل شرکت ها ترجیح می دهند که لپ تاپ های شرکتی را صادر کنند تا بتوانند اسکن های ویروس را اجرا کنند و غیره، و تنها به کسانی که می توانند به شبکه شرکت وصل شوند (چه سیمی، بی سیم و یا VPN )
(این امکان وجود دارد که کامپیوتر شخصی VPN را ایمن نگه دارد، اما کمی عجیب و پیچیده تر است – شما به یک زیر شبکه فرود می روید که از آن می توانید به میزبان های VDI / RDP DMZ دسترسی داشته باشید، از آن شما می توانید به ماشین کار خود دسترسی داشته باشید، یا چیزی شبیه به آن)
مرد در وسط – امنیت AWS Lambda ارتباط با غیر HTTPS API
تعجب بر این است که چه حملاتی ممکن است در سناریوی زیر ظاهر شوند.
من یک سرویس وب دارم که یک لامبدا AWS (پشت دروازه API) ایجاد می کند که باعث می شود چندین تراکنش (ارسال ایمیل، اضافه کردن به لیست پستی) و سپس یک درخواست برای یک API ارسال می کند. با این حال این API با https تضمین نشده است. API با لیست سفارشی IP تأمین می شود. API همچنین انتظار می رود یک نشانه مجوز در درخواست، که از طریق HTTP تایید مجوز منتقل می شود.
بنابراین سوال من این است، از آنجا که سرویس وب تنها POST درخواست به سرویس لامبدا، سپس سرور لامبدا POST API، یک کاربر میتواند آن ترافیک را دنبال کند و نقطه پایانی API را پیدا کند؟ به هر حال یک کاربر مخرب می تواند ترافیک خروجی را از نقطه پایانی لامبدا خراب کند؟
FWIW – هیچ اطلاعات بسیار حساس در API وجود ندارد، اما برخی از داده های کاربر وجود دارد. این کار قبل از ورود به سیستم با استفاده از HTTPS قفل می شود، من فقط کنجکاو هستم که بدانم که بردارهای بالقوه حمله وجود دارد.
