استفاده – برگه 74 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

آوریل 26, 2018

رمز عبور یک بار – جلوگیری از سوء استفاده از OTP در جریان ثبت نام برنامه

این ممکن است به نظر یک سوال open ended باشد، اما من می خواهم شانس خود را بگیرم و درک کنم که آیا بقیه جامعه در حال رسیدگی به این مسئله هستند.

بیایید بگویم برنامه ای است که به کاربران امکان می دهد ثبت نام با استفاده از شماره تلفن خود را.

پلتفرم برنامه

Android
iOS

برنامه جریان

کاربر برنامه را باز میکند
او با یک دکمه ورود / ثبت نام ارائه میشود
اکنون میخواهد ثبت نام کند او یک کاربر جدید است. بنابراین او بر روی دکمه ثبت نام کلیک می کند و از او برای شماره تلفن او
خواسته می شود وقتی شماره تلفن خود را ارسال می کند، او را از طریق SMS دریافت می کند. بگو که برنامه در واقع از API / ثبت نام که اس ام اس را راه اندازی می کند تماس می گیرد

خطر:
در حال حاضر برای هر SMS خروجی، هزینه های مالی درگیر است.

اقدامات پیشگیرانه / واکنشی کاهش یافته

API نرخ محدود است (بر اساس شماره تلفن)
نظارت و هشدار درست در محل وجود دارد. بنابراین اگر در همه موارد موارد سوء استفاده وجود داشته باشد، اقدامات شدید مثل مسدود کردن IP ممکن است رخ دهد.

مسائل

اگر یک دشمن (به طور بالقوه یک رقیب) با API برخورد کند
شماره تلفن های مختلف، منطق محدود کردن سرعت را به راحتی دور می اندازد.
مسدود کردن IP همیشه ممکن نیست. بگو: اگر دشمن پشت شبکه NATed باشد، تمام کاربران واقعی پشت شبکه نیز از انجام هر گونه ثبت نام موفقیت آمیز مسدود می شوند.
اگر دشمن تغییر آی پی ها (شاید با استفاده از Tor)، مرحله دوم کاهش در موارد فوق نیز از بین می رود.
Captcha یک راه حل نیست زیرا آن را از بین می برد UX، مخصوصا هنگام برخورد با برنامه های تلفن همراه
داشتن نام کاربری رمز عبور به جای OTP برای تأیید ثبت نام یک گزینه نیست، زیرا برنامه نیاز به یک شماره تلفن تأیید شده برای کارکردن دارد
امضای دستگاه در هر دستگاه نیز می تواند به عنوان یک عامل برای محدود کردن سرعت استفاده شود، اما واقعیت این است که از دستگاه نیز بیش از HTTP (ها) می آید. از این رو، به راحتی قابل تغییر است. بنابراین این گزینه نیز غیرقانونی است.

در چنین وضعیتی، چگونه در برابر ریسک محافظت شود یا شاید بتوان آن را برای آن آماده کرد، اگر در کل نمیتوان آنرا مرتب کرد؟

آوریل 25, 2018

مجوز گواهی – ایجاد CA ریشه خود امضا با استفاده از MacOS Keychain

من می خواهم از Keychain MacOS برای ایجاد یک Root CA اولیه استفاده کنم که قادر به امضای CSR ها و / یا Intermediate CA است که می توانند این کار را انجام دهند.

برای اهداف دانش من می خواهم ایجاد یک ریشه و متوسطه و سپس گواهینامه داخلی SSL داخلی ما، اما IRL، فقط یک ریشه و برخی برگ ها کافی است.

من تلاش زیادی برای استفاده از ریشه و برگ ها می کنم. در MacOS، من فقط باید به گواهی ریشه اعتماد کنم و نسل ها اعتماد (که کاملا طبیعی است). اما در ویندوز، مهم نیست که چطور به ریشه اعتماد دارم، برگ ها همواره به عنوان نامعلوم پرچم گذاری می شوند، چیزی مانند "این گواهی نامعتبر است زیرا گواهی نامه امضا نمی تواند صدور گواهینامه صادر کند"، حتی اگر هر گونه استفاده امکان پذیر باشد.

As به عنوان مثال، در اینجا RootCA.pem :

 ----- آغاز گواهینامه -----
MIIDjTCCAnWgAwIBAgIBGTANBgkqhkiG9w0BAQsFADB3MQ8wDQYDVQQDDAZPUEgg
Q0ExHTAbBgNVBAoMFE9seW1waWMgUGFsYWNlIEhvdGVsMQwwCgYDVQQLDANDVE8x
FDASBgNVBAgMC0JyYXp6YXZpbGxlMQswCQYDVQQGEwJDRzEUMBIGA1UEBwwLQnJh
enphdmlsbGUwHhcNMTgwNDEwMTcyMzQ0WhcNMzgwNDA1MTcyMzQ0WjB3MQ8wDQYD
ویتامین D
VQQLDANDVE8xFDASBgNVBAgMC0JyYXp6YXZpbGxlMQswCQYDVQQGEwJDRzEUMBIG
A1UEBwwLQnJhenphdmlsbGUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwgGAKAoIB
AQDVGJe8JL4jy7Y0Ovb2yn1NKrbnWmDY4Y4gZ5U9fd1C2b0rjUYw0 + gdIY + zZoC9
zqIOYpIIDhwcXQXTMGB0naAv + mmnmnmJh9PsyGZ7xl9UT / Z1scICpWUgOLC + 9xO4
wa8kbA88P + j + 6Ybg + CwRDRM4ut7jweQz / BGnK6C2QDLvuGOekLCQTzPMugJBImia
M1CfMqrbnYqP8U6ULRVu / GX7R1itsoMIm / IG6ZnDDLna4ReE5Fsxka7h7Mfqt8EH
Tcn7tBlV4QApEF + RIo2JpHHmw5UAZZqWUdUkk4sB7iVqiOvh3egEeWmpyK6pAa7S
dFnLk0SVEg / ociTj8l61OZtZAgMBAAGjJDAiMA8GA1UdEwEB / wQFMAMBAf8wDwYD
VR0PAQH / BAUDAwf / gDANBgkqhkiG9w0BAQsFAAOCAQEAM0vlrtpJS + kmVW7c0Kb3
OyQc9cSne9vcneu5vz8oPsMuv9N1emo8TKueiPEwPxNan / WqrLAanaMtpxP9XRco
O9JnlXqKzXxlym3abiKsV4XsxBC8gBlG5Gks5JNjj7pTpx9OwsShob0G / 8RzBlUZ
LoP1iPpO0mDw8wwI5X1TbmYodmtpNeEcd1JtfZ1 / iL0AMF + pE / FY1PYkBPs6S7mb
iWePjRv2QuVGv0dSzpJAPcAILmwLvHRVRB4DrV / liJ9DfiEjnQHV0SJfvc / tJcYs
hEDMxLEm + 2l4XsEWAmjlZMDIf1jZFKgXRsEAHHn1F4OxqspTmfhAFns6v9SKtQk7
ow ==
----- گواهی END -----

اینجا گواهی برگ است.پیم:

 ----- گواهی شروع -----
MIIEGzCCAwOgAwIBAgIBATANBgkqhkiG9w0BAQsFADB3MQ8wDQYDVQQDDAZPUEgg
Q0ExHTAbBgNVBAoMFE9seW1waWMgUGFsYWNlIEhvdGVsMQwwCgYDVQQLDANDVE8x
FDASBgNVBAgMC0JyYXp6YXZpbGxlMQswCQYDVQQGEwJDRzEUMBIGA1UEBwwLQnJh
enphdmlsbGUwHhcNMTgwNDEwMTczMDMwWhcNMjMwNDA5MTczMDMwWjCBpzEUMBIG
آیلتس
MQswCQYDVQQLDAJJVDEUMBIGA1UECAwLQnJhenphdmlsbGUxCzAJBgNVBAYTAkNH
MRQwEgYDVQQHDAtCcmF6emF2aWxsZTEqMCgGCSqGSIb3DQEJARYbaXRAb2x5bXBp
Yy1wYWxhY2UtaG90ZWwubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
AQEA1OKgramUyEMaByWJq6vXHR1n3Ump8qaE + iFgJIU4p + c9jfVMJuRtECcSJejI
IKp + 0um5rCJAeFNSmyLmMGp + zjmLTUySrrl / ZJKhwLolxJCK68MOJJ6CVEJammO6
dA55RIgukHpRsUnlUdu + VpQB7dsKreG44b23jpa5w3l4Hknb7lGxOPXjAya8kfiZ
lObbBne1xdOLQfjdHqpUvjJHv0uajq + R / YnoH7Dfp3UVNZ4rWwAtHcJbOpLAam4c
FcsDy + pG1ng2yryup + fGK0HjvSHhj6VjCJqZysJGF3zIFwEugoN0liCK6GsM6vM5
fm0FbEFoLvnrrfPdWP3gEcex5wIDAQABo4GAMH4wDwYDVR0TAQH / BAUwAwEBADAO
BgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMBMDwG
A1UdEQQ1MDOBG2l0QG9seW1waWMtcGFsYWNlLWhvdGVsLm5ldIIJKi5vcGgub3Zo
ggkqLm9waC5sYW4wDQYJKoZIhvcNAQELBQADggEBAD + 2KDcJ / XGLdfMsHWgn6au /
daGn0HAvjOvHDqBN + HG9zVrVa + C1IpoPFI9ZMfe5W4Ju2RFEZLAT1l4rMVghsHO2
hQ6Jf / PZE + 4K68C6ewp0isDDzah9w8nZ8N7LZHSVq2AaQQX3Zv7yOIxvpkeEjhzI
GInZM + UVJhbdV4g5Om + dcAMWjEQJN + AvAATZdJogfbPDEmHG + RbfTqn9L + ycA75t
/ uXdTxN3kdSS / iBfk07ZFTKB2nhJJPwI1NJHM6LBbfY9lIQnxAiyKaWmprZztWIC
oAS1tjTchbWQERYNBQ + kxIkgQLjVr4PL5F0Ji2FjWfRscMuXdPowFTpJ1exDC3M =
----- گواهی END -----

و در اینجا علامت خصوصی برگ برگ (رمزگشایی):

 ویژگی های کیسه
    دوستانه نام: lan.oph.ovh
    localKeyID: E7 36 A4 85 FC 43 2A F9 79 01 36 37 80 BB 00 38 30 74 0E 47
ویژگی های کلیدی: 
----- آغاز KEY PRIVATE ----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDU4qCtqZTIQxoH
JYmrq9cdHWfdSanypoT6IWAkhTin5z2N9Uwm5G0QJxIl6Mggqn7S6bmsIkB4U1Kb
IuYwan7OOYtNTJKuuX9kkqHAuiXEkIrrww4knoJUQlqaY7p0DnlEiC6QelGxSeVR
275WlAHt2wqt4bjhvbeOlrnDeXgeSdvuUbE49eMDJryR + JmU5tsGd7XF04tB + N0e
qlS + Mke / S5qOr5H9iegfsN + ndRU1nitbAC0dwls6ksBqbhwVywPL6kbWeDbKvK6n
58YrQeO9IeGPpWMImpnKwkYXfMgXAS6Cg3SWIIroawzq8zl + bQVsQWgu + eut891Y
/ اورجینال /
XStFu5lAo3K5tRILeU7qv3zurCR + w8cJpAPGc + HJL9tB5r + k8b299YtClnkDQxxI
tEqEqJdn / QcRgZ385e5DKzq9UH6Snx5ipfD5Xog9wpMdVGKuYUEXBMJbkL62cc1c
5JraBNvUPDoIkLI1fyBz2ZEc9Iz4wweSk2IldPCXXHmL2OLDSDwsl9HpJoMJTt8S
PaWTOOBrCBtW9if6vvwZDPOpdHISdfhg / N + ifE0eYn2s8cxPs / 9Y1dDo2L5gS8re
pOB4LAaeOos4mvQ8808HLX8Y9M + iuM3Qr8ToiGvkbTkCgYEA + EPHTfkllDUn2fel
6 + zxJv4omKZupJ3Bvx / g + AjFBnAzkMVkcuhRA7B5dlBq3f2N1QFBBJJnkmF7z3Mu
IAXTM5MOuwqgywApA / voK0p5ZragP9WZR / 5 + SakWeVF + Vk1Zvu816ppLBXW64H6 +
t + YRqa1KYAVj8xbgATxGb81QmPsCgYEA24SnSTBbhvMMaZoUGecIf29Pxx4 + WAhh
Dq1Q0V1CH / zBIYvgnN1cI4E / TFcrzHhxmxtb5B6PYpZfD59tzvbKGNPL64hAqWwg
4IFuvNpw2aJptQGz9D6Vu61kAe4m / 5Hw6wcJN3o73pMGV3CuoyHqYj85vqCasbFP
vOitYUpaDwUCgYBfQsqn / bDQtLDM7zyoUWubFa0IHdyYp7vfFWFiayMGvGjc5REN
El17t + xzXJoVAiS5FdkX4wGA5oz2ZfDN8s4 + nO / rD0Hxguc6Ex / b9KCuq + bDd7dw
K5PTueDYvk9m2BlWrT0X / wpIVwtU9u1BbTNb0xWV0JuwfBeKAdHZNoP1nwKBgQCf
YlGT8miCMzZv9k9h / z1MSaXDDVJ22SoHXg + v8 + ZvEzWnBciwHIkpvk4XP7OtYkYa
OGMf3pB9JHEhBsDT5JwYKq + E9Aj ++ mNknpWoyXHmkuXtZq8iR86v1dUnEaN / LJeg
DhvDDB0sHdQc6NPj3lwvuXhT0IiBPByJLOe2HCYHgQKBgDNRAJ4C1SAAW3XXnoCL
kjnvaXk0plj7Sh1JfZiipZun2Gl99JX68aNh + 5bnm5Yq + jQHKHmAQfHnXW4Nyjk7
vmlI + LGZvwVkKQn6xORWNz3T0CUD9MHNCWN5CNL6HJJ3mBYDqpjC5n2i10 / tF2Jv
WtTYDNeQf1HnCLuoDSV1y / nB
----- کلید خصوصی END -----

آیا کسی میتواند به من کمک کند به درک اینکه چرا این گواهینامه در ویندوز قابل اعتماد نیست و احتمالا از دستش چی هست؟

آوریل 24, 2018

ARP – یادگیری استفاده از Kali .. برخی از سوالات IP اصلی است

دوست من و من با لینوکس کالی در حال بازی کردن هستیم و تلاش میکنیم دستگاهها و چیزهای دیگر را به یکدیگر متصل کنیم تا ما IP عمومی را به یکدیگر ارائه کنیم.

اما به هر دلیلی، او حتی نمیتواند من را بکشد. چرا اینطور است؟ ما در مجتمع های آپارتمانی زندگی می کنیم و این بدان معنی است که ما در زیر شبکه های مختلف هستیم؟ و این امکان وجود دارد که زیرشبکه های ما فقط ترافیک را از منابع قابل اعتماد اجازه می دهند؟ کاملا گیج شده است ..

از قبل سپاسگزاریم

هدف ما در حال حاضر این است که بتوانیم یکدیگر را پینگ کنیم و وقتی ما "arp-a" را مشاهده میکنیم، IoTs خود را در شبکههای ما ببینیم. هر گونه کمک و یا منابع یا پیوندهای بسیار قابل قبول خواهد بود

آوریل 24, 2018

تبادل – استفاده از TSL / SSL برای ارسال / دریافت ایمیل همان رمزگذاری؟

مشتری از یک شرکت بزرگ برای کنترل ایمیل استفاده می کند. یک ویژگی رمزگذاری شده است، به طور عمده، اسناد زمانی که آنها ارسال می شود (پورتال وب سایت برای دسترسی به آنها).

من تحت تأسف قرار گرفتم که فرستادن یک ایمیل بدون حفاظت، تا زمانی که سرورها به آنها دسترسی پیدا کند، فایل را رمزگذاری کرده و پیوند را ارسال کنند. چت روم زندگی خود را گفت که اگر شما از TSL / SSL هنگام ارسال استفاده می کنید برای حفظ امنیت اطلاعات کافی بود.

آیا اعتقاد دارم که این تنها برای اعتبار است؟

آوریل 23, 2018

فیس بوک با استفاده از الگوهای تیره برای تحت فشار قرار دادن قوانین حفظ حریم خصوصی اتحادیه اروپا

GDPR، قانون جدید حفظ حریم خصوصی اروپا، به این معنی است که کاربران باید صریحا اجازه بیشتری برای جمع آوری داده ها را ارائه دهند. فیس بوک می خواهم شما را به آنها اجازه بدهید.

خوش شانس برای فیس بوک آنها بسیار خوب در گرفتن مردم برای انجام آنچه آنها می خواهند. ما در هفته گذشته درباره اینکه چگونه شرکتهای فناوری از الگوهای تاریک برای فریب دادن شما استفاده می کنند، طراحی شده اند تا به راحتی مردم را به انجام کارهایی که برای آنها سودمند است، بکشاند. خوب نگاهی به این مثال از یک پست وبلاگ فیس بوک در مورد ویژگی های جدید GDPR خود بگذارید:

توجه کنید که دکمه «قبول کردن و ادامه دادن» آبی است و در پایین، در حالی که گزینه ای که به شما امکان می دهد در واقع تغییر تنظیمات خود را به سختی قابل مشاهده است؟ این عمدی است آنها می خواهند شما فقط روی "Accept and Continue" ضربه بزنید، بنابراین گزینه ای که آنها مطمئن هستند بیرون می آیند.

فیس بوک این کار را بسیار انجام می دهد. جاش کانستین، نوشتن برای Tech Crunch، بسیاری از این الگوها را در گفتگوی GDPR جدید نشان می دهد، پس اگر مایل هستید، بررسی کنید. شرکت های فناوری انتخاب های طراحی را به دلیلی انجام می دهند و درک این موضوع مهم است اگر شما می خواهید یک کاربر قدرتمند باشد.

جاستین پوت نویسنده کارآفرینی برای How-To Geek و علاقه مندان به تکنولوژی است که در Hillsboro زندگی می کند. اورگان اگر می خواهید، در توییتر و فیس بوک دنبال کنید. شما مجبور نیستید.