نوشته‌شده در

TLS – اعتبار سرویس گیرنده / سرور پس از تأیید اعتبار از طریق HTTPS و سپس به متن ساده؟

آیا می توان یک اتصال امن برای متن ساده را در حین حفظ یک اتصال اعتماد کرد.

نه، غیرممکن است. در متن واضح، این هیچ راهی برای سرور برای جلوگیری از تغییر داده ها در هر جهت نیست.

از آنجا که سرور منبع محدود در قسمت محاسبات است، من می خواهم به یک اتصال رمزگذاری نشده برای بازی داده شود. [19659002TLSدیگرمنابعفشردهنیستاگراینواقعانگرانیاست،شمامیتوانیدرمزگذاریTLSرابهسروریاسرویسدیگریمانندCloudflareبفرستیداماهردستگاهVPSیامجازیمیتواندبهراحتیTLSرامدیریتکنداگرسرورشمانمیتواندTLSرامدیریتکند،مطمئنانمیتواندحتییکقسمتکوچکیازمنطقبازیخودراادارهکند

از آنجا که من قبلا نمی توانم به مشتری اعتماد کنم (همانطور که در جاوااسکریپت نوشته شده است)

شما نمی توانید به مشتری اعتماد کنید، مهم نیست چه زبان، فنآوری یا چارچوبی که استفاده میکنید حتی اگر مشتری شما در داخل ASIC اجرا شود، نباید از داده های مشتری اطمینان داشته باشید.

اگر تجارت از طریق یک سری از DAPPS اجرا شود

انجام ندهید. DAPPS برای توسعه سخت است، نگهداری بسیار دشوار است و هیچ مشکلی را حل نمی کند. به استثنای اینکه می خواهید پول بازیکنان را از دست بدهید، به کسی که تجربه و اعتبار دارد را برای توسعه این توابع برای شما پرداخت کنید. سعی نکنید تمام کارهای خودتان را انجام دهید یا زمان، پول و اعتبار خود را از دست می دهید. یا پرداخت کسی را که برای شما انجام می دهد یا پول واقعی را شامل نمی شود.

نوشته‌شده در

تأیید اعتبار – آیا این یک پیاده سازی امن از نشانه های تجدید JWT است؟

من یک نشانه ی بازخوانی JWT را اجرا میکنم و روش زیر را برای تشویق نشانه ها توسعه داده ام. زیر برنامه جریان است:

  • هنگامی که سرور اطلاعات ورود را بازیابی می کند، آن را در برابر رمز عبور بررسی می کند
    پایگاه داده و ایجاد Token JWT با یک نشانه تازه کردن به عنوان یکی از آن
    ادعا می کند در محموله. (کاراکترهای تصادفی). این تازه سازی را ذخیره خواهد کرد
    نشانه در یک پایگاه داده.
  • پس از ورود، سرور ورود به سیستم: true و Token access JWT
  • از آنجا که نشانگر refresh در داخل JWT است، دو نشانه لازم نیست
    فرستاده می شود
  • اگر مشتری یک نشانه دسترسی را که تمام شده است، ارسال می کند، سرور خواهد شد
    کد زیر را در ادعا بررسی کنید و ببینید آیا در داخل db است.
    اگر این کار را کرد، یک نشانه جدید با یک نشانه تازه کردن ایجاد خواهد کرد و
  • اگر مشتری بخواهد از همه دستگاه ها بیرون برود، می توانند به راحتی تمام آنها را لغو کنند
    از نشانه های بازخوانی آنها و زمانی که همه آنها بیرون می آیند
    نشانه ها منقضی می شوند (نشانه های 15 دقیقه JWT).

مزایایی که می توانم در این پیاده سازی ببینم عبارتند از:

  • بدون نیاز به ارسال دو نشانه. تازه سازی در داخل JWT جاسازی شده است
    و نمی تواند اصلاح شود زیرا امضای آن نامعتبر است.
  • بدون نیاز به رمز نویسی مجدد در پایگاه داده را رمزگذاری می کند، زیرا اگر یک
    مهاجم نشانه ی refresh را نگه داشته است، آنها نمی توانند کاری انجام دهند
    با آن به دلیل آن است که در داخل JWT است و نمی تواند اصلاح شود. (که در
    پیاده سازی های دیگر با نشانه های جداگانه باید فرض کنیم
    مهاجم به هر حال هر دو را می گیرد)

مشکلاتی که من با آنها می بینم عبارتند از:

  • JWT ها همیشه دارای نشانگر refresh هستند، بنابراین مهاجم همیشه باید باشد
    قادر به انجام یک تازه کردن و استفاده از نشانه refresh تا زمانی که منقضی شود
    مگر اینکه مشتری آن را با ورود به سیستم (از تمام دستگاه ها) لغو می کند.
  • مشتری می تواند تماس ورود به سیستم را در حلقه اجرا کند و پایگاه داده را پر کند
    زیرا هر بار که آنها وارد سیستم می شوند، یک نشانه دسترسی جدید ایجاد می شود و یک
    کد جدید refresh در پایگاه داده ذخیره می شود.

آیا این روش امن است؟ اگر چنین است، من عمدتا با کسی که با پایگاه داده های جدید refresh و پر کردن دیسک پر می کند، نگرانم. چگونه می توانم از وقوع اجتناب کنم؟

نوشته‌شده در

تأیید اعتبار – قدرت جفت کلیدی

من سعی می کنم مبنایی برای مقایسه احراز هویت با جفت کلید بر اساس احراز هویت رمز عبور و مقاومت نسبی آنها در برابر حدس زدن / حملات نیروهای شدید پیدا کنم.

من قدردانی می کنم که رمز عبور انتخاب شده توسط کاربر احتمالا خیلی کمتر است آنتروپی نسبت به یک تصادفی – آیا هر تلاشی برای اندازه گیری تفاوت وجود دارد؟

برای یک حمله نیروی محرک، من انتظار دارم که هزینه تولید یک جفت کلیدی خیلی بیشتر از تولید رمز عبور باشد، اما مقدار زیادی از آن تفاوت در هزینه اعتبار سنجی جفت کلید در مقایسه با اعتبار گذرواژه؟

یک رمز عبور از یک طول مشخص، به طور بالقوه می تواند هر رشته ای از کاراکترهای آن طول باشد، بنابراین یک شمارنده ساده افزاینده به یک رشته از کدهای رشته تبدیل می شود رمز عبور ممکن است با این حال همانطور که به یک جفت کلیدی اعمال می شود – در واقع تعدادی از مقادیر ممکن است بسیار پراکنده باشند. آیا برآوردی از چند جفت کلیدی برای یک الگوریتم / اندازه کلیدی وجود دارد؟

نوشته‌شده در

تأیید اعتبار – یک رمز گذار چیست؟

در حالی که بحث در مورد اعتبار / صداقت بایگانی برای مدت طولانی و مشکل به طور بالقوه مجدد در هنگام مصالحه، فرد با اصطلاح "trans-cipher" (یا "trans-encryption") آمد.

من تلاش کرد تا کل اینترنت را برای این جستجو جستجو کند، اما نمی توانست معنی این را بیابد. آیا می توانم کسی مرا روشن کند؟

توجه: در زمینه معتبر بودن آرشیو طولانی مدت، این اصطلاح در حالی که در حال صحبت کردن با امضای تایید است و مشکل زمانی که یک کلید خصوصی به مخاطره می افتد یا زمانی که الگوریتم برای کلید عمومی / خصوصی منسوخ شده (به عنوان مثال با توجه به قدرت سخت افزاری سخت افزاری که به نقطه ای رسید که در گذشته فاکتور مشکل دشوار بود، بی اهمیت می شود).

PS: ممکن است اصطلاح دقیق کمی متفاوت از "trans-cipher" باشد. در این پروژه رد دیجیتال برای اثر انگشت دیجیتالی (همچنین نام تابع رمزنگاری هش) …

نوشته‌شده در

اعتبار ممنوعه خواهد شد به زودی آزاد خواهد شد، کمک به شما متوقف کردن دزد شناسایی

ممنوعیت اعتبار خود می تواند دزدان هویت را از باز کردن یک حساب کاربری در نام شما متوقف کند، اما تا همین اواخر هزینه آن را در برخی از ایالت های ایالات متحده هزینه می کند. این در حال تغییر است.

در اینجا برین کراکز، کریبس برای امنیت نوشته است:

در حال حاضر، بسیاری از ایالت ها اجازه سه شرکت بزرگ بزرگ مانند Equifax، Experian و TransUnion را برای پرداخت یا جابجایی یک انفجار امنیتی می پردازند. اما به لطف یک قانون فدرال که در اوایل سال جاری تصویب شد، پس از سپتامبر 21، 2018، آزادانه فایل های اعتباری و کودکان و یا وابستگان شما در سراسر ایالات متحده را ممنوع و فریب دهد.

اعتبار منفی شما این معنی است که هیچ کس نمی تواند یک گزارش اعتباری بکشید که دزدان هویت را از گرفتن وام و یا باز کردن کارت های اعتباری به نام خود متوقف کند. اما ممنوعیت اعتباری همچنین شما را از انجام همان کار متوقف می کند، بنابراین شما قصد ندارید اعتبار خود را به طور مداوم یخ زده کنید. تعویض به عقب و جلو بین یخ زده و فروپاشی که به معنای پرداخت هزینه های 10 دلار است، اما از 21 سپتامبر دیگر این مورد نیست.

مرتبط: Equifax هک شده است: نحوه متوقف کردن دزد شناسایی از افتتاح حساب ها در نام شما

هزینه ای که به حساب می آید اعتبار خود را فقط کمی ساده تر می کند، که به قربانیان سرقت هویت و نقض اطلاعات کمک خواهد کرد. این فرایند هنوز به معنی ورود به وب سایت تمام سه موسسۀ اعتباری عمده است و درخواست برای ممنوعیت یا تماس با آژانس ها است که آزار دهنده است. راهنمای ما برای متوقف ساختن دزدان هویت از باز کردن حساب ها به نام شما، اگر شما کنجکاو هستید، این کار را انجام دهید.

این تغییر روند را سریعتر و ساده تر نمی کند، اما هزینه ها را حذف می کند. این پیشرفت است.

اعتبار عکس: Infomages / Shutterstock.com