اعتماد – برگه 2 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 15, 2018

آیا یک آدرس IP ثابت می تواند یک شناسه کاربری قابل اعتماد در محیط امن باشد؟

آیا می توان یک عمل قابل قبول بود اگر ما یک مشتری (فرد یا شرکت) را با مرتبط کردن آدرس IP های ثابت خود برای ثبت اقدامات ایمن که فقط مشتریان مجاز می توانند انجام دهند، ثبت نام کنیم؟ من به پاسخ هایی پاسخ دادم که محدود کردن مشتریان توسط آدرس های IP ثابت آنها یک حفاظت اضافی خوب است و دروغ کردن آدرس IP یک حمله عملی در ارتباط دو طرفه نیست. من می خواهم بدانم که از دیدگاه امنیتی قابل قبول است و از IP استاتیک مشتری استفاده می کند که تنها وسیله ای برای تأیید اعتبار مشتری است. چطوری خطرات مشخصی در رابطه با این روش وجود دارد؟

آگوست 27, 2018

گواهینامه ها – نحوه اضافه کردن یک CA سفارشی به androids پوشه ریشه سیستم مورد اعتماد

از آندروید 7.0 هیچ گواهی سفارشی توسط برنامه های آندروید استفاده نمی شود. توسعه دهندگان برنامه باید به طور خاص کدهای نوشته و تنظیمات برنامه را تغییر دهند تا یک CA سفارشی را دنبال کنند.

اما در حال تست کردن گواهی در محیط UAT سخت است. به عنوان یک راه حل من می خواستم گواهی CA سفارشی از ابزار پروکسی (burp یا ZAP) را به پوشه سیستم androids اضافه کنم.

چگونه این کار را انجام دهیم؟ کدام پوشه گواهی باید کپی شود؟ من از شبیه ساز استفاده می کنم. پس راهی برای انجام این کار بدون رندر شبیه سازی وجود دارد؟

Ref: اولین پاسخ این سوال

آگوست 26, 2018

برنامه وب – اگر رجیسترهای غیرقابل اعتماد از طرف سرور کنار گذاشته شوند، اگر از طریق document.createTextNode به داخل سند وارد شوند؟

Webapp چت. مشتریان (یعنی مرورگرهای وب) پیام هایی را به سرور ارسال می کنند که سرور آن را به تمام مشتریان مرتبط متصل می کند. کد مشتری به نظر می رسد مانند:

 اجازه دهید p = document.createTextNode ('p')
p.appendChild (document.createTextNode (پیام))
document.getElementById ('chatbox') appendChild (p)

از کجا پیام رشته دریافت شده از سرور است

مشکل در اینجا این است که به شدت توصیه میشود که داده های غیر قابل اطمینان سرور را ضدعفونی کنید تا قبل از قرار دادن آن درون سند با حذف شخصیت های خاص <، > ، ، و غیره) و جایگزینی آنها با نهادهای HTML مناسب است. به من گفته شد کد بالا برای XSS آسیب پذیر است اگر این ، ، ، ، ، ، کاراکترهای ویژه verbatim را نمایش می دهد و را نمی بینند و آنها را به صورت HTML می بینند. بنابراین ضدعفونی کردن سرور، تغییر کاراکترهای فوق به موجودات HTML باعث خواهد شد که مشتریان، نه شخصیت هایی که انسان ها قرار دارند


 به این ترتیب من اعتقاد ندارم که چنین اعتبار لازم است و درست نیست زمانی که  document.createTextNode ()  استفاده می شود. 
 با این حال، به من گفته شد که همیشه لازم است برای رفع نواقص سرور رشته ها. به من گفته شد که فرار از این صفات سرور  همیشه  ضروری است. در این صورت، من قصد داشتم از استفاده از  document.createTextNode ()  استفاده نکنم و به جای آن از  innerHTML  استفاده کنم؟ این به نظر من عجیب و غریب به نظر می رسد زیرا من همیشه فکر  innerHTML  را به عنوان یکی از  حداقل  ویژگی های امنیتی جاوا اسکریپت می دانم که نباید با محتوای نامعتبر استفاده شود.




		
		نوشته‌شده در آگوست 23, 2018
محاسبات قابل اعتماد – با TPM مقادیر اولیه PCR با مقادیر "خوب" تخمینی می شوند؟
	


	
	
		

 من سعی می کنم بیشتر درباره ماژول پلتفرم بوت / اعتماد قابل اطمینان یاد بگیرم و در مورد مقادیر پیکربندی پلتفورم که اندازه گیری یک پیکربندی خوب است که توسط یک کلید قفل شده از دسترسی در تراشه TPM امضا شده است، درک می کنم. 
 درک این است که چگونه این حالت اولیه "خوب" در مقادیر PCR تعیین می شود. آیا یک مورد از امضای امضا اجازه می دهد تا فروشنده BIOS یا نگهدارنده بوت لودر / هسته امضاء یک آزادی و اندازه گیری های آن را داشته باشد یا اینکه در هنگام بارگزاری اولین دستگاه یک رکورد ثبت شده است؟ 
 همچنین چگونه این PCR ها پر شده و اگر شخصی ارتقاء هسته را شناسایی کند، آیا مجدد آن مجددا امضاء می شود، آیا PCR ها باید تنظیم مجدد شوند و تنظیمات خوب دوباره تنظیم شوند؟ 
 متاسفم که در درک های من در اینجا حفره هایی وجود دارد، در حال تلاش برای دست زدن به موضوع بسیار پیچیده است. 

 
	


	



		
		نوشته‌شده در آگوست 14, 2018
گواهی – چگونه می توانم به یک سایت اینترانت اعتماد کنم
	


	
	
		

 من کاملا با کار با pki کار جدیدی دارم و چند روز تلاش کردم تا بدانم که چگونه محیط زیست را به درستی پیکربندی کنم (سنتوس 6). 
 یک گروه دیگر در داخل سازمان من، فایلهای زیر را از یک واسطه CA. 
 .p12

پیمان

.key 
 .p12 حاوی قلم و کلید شخصی من است که با رمز محافظت شده است. من قادر به استفاده از این دو فایل با استفاده از کتابخانه درخواست پایتون برای برقراری ارتباط با سرور؛ با این حال، تلاش می کند تا سرور خود را شکست دهد. 
 در تلاش برای تایید سرور خود، سرور خود را با استفاده از مرورگر خود صادر کرد. من آن را در تمام دایرکتوری های صحیح گذاشتم و  update-ca-trust extract  را اجرا کردم و فایل با موفقیت به فروشگاه اعتماد اضافه شد، اما تلاش برای تأیید سرور خود هنوز ناکام است. 
 من کاملا مطمئن نیستم که من اشتباه می کنم، اما اساسا پیام های مختلفی از کتابخانه openssl و کتابخانه های درخواستی python دریافت می کنم که گواهی نمی تواند تایید شود. 
 آیا در اینجا چیزی از آشکارا وجود دارد؟ 

 
	


	


	
		راهبری نوشته‌ها
		برگه قبلی
برگه 1
برگه 2
برگه 3
…
برگه 10
برگه بعدی