رمزگذاری – آیا امن برای ذخیره داده های رمزگذاری GPG به طور عمومی به عنوان مثال در GitHub؟
من به طور کلی به این ایده که رمزگذاری تاریخ انقضا دارد، مشترک است. بنابراین فرض بر این است که برای انتخاب کلیدی و کلیدی بهترین عمل را دنبال می کنید، بهترین شیوه ها عموما افق امنیتی حدود 30 سال را در نظر می گیرند.
بنابراین اگر بعد از 30 سال این اطلاعات هنوز اطلاعات حساس هستند … پس شما می خواهید برای انتخاب طول های کلید قوی تر از نرمال و سیم کارت (یعنی نگاه کنید به رمزنگاری پس از کوانتوم)، و یا روش های دیگر برای کاهش خطر ابتلا به آن را در نظر بگیرید. به عنوان مثال، محتوای عمومی را در GitHub منتشر نکنید. اما به خاطر داشته باشید که راهنمایی 30 ساله ای که توسط سازمان هایی نظیر NIST برای تنظیم فعالیت های صنعت ارائه می شود، بر اساس نرخ های تاریخی در رمزنگاری است. اگر یک سوءاستفاده جدید یک امنیت ناشی از رمز را ایجاد می کند، اطلاعات شما می تواند توسط یک مهاجم قابل خواندن در یک زمان بسیار کوتاه باشد.
اما اگر محتوا فقط برای مدت کوتاهی حساس باشد، مانند یک کلید API که به راحتی لغو می شود و تغییر یا تاریخ انقضای – و سپس شما احتمالا به ارسال داده های رمزگذاری شده با برخی از اعتماد به نفس است که هیچ کس قادر به خواندن مطالب نیست.
TLS – امن ترین روش برای ارسال اطلاعات احراز هویت به API چیست؟
از احراز هویت پایه استفاده نکنید، آن منسوخ شده است. هنگام استفاده از اعتبارنامه احراز هویت پایه به عنوان یک شناسه جلسه به کار می رود، بنابراین باید در هر درخواست ارسال شود. این دو حادثه بزرگ است:
-
مجوزهای ذخیره شده در حافظه پنهان مرورگر در متن ساده است که ممکن است در بعضی از سناریوها مورد سوء استفاده قرار گیرد.
-
جلسه را نمی توان متوقف کرد زیرا آن را به اعتبار کاربر متصل می کند و اعتبار هیچ مفهومی از منقضی شدن به عنوان JWT، کوکی ها و یا نوع دیگری از نشانه ها (توجه: هنگامی که می گوید منقضی شده من اشاره به رمز گشایی رمز عبور به عنوان در "نیاز به تغییر رمز عبور هر 3 ماه"، اما اعتبار به عنوان یک طرح اعتبار سنجی)
حتی اگر شما تلاش برای استفاده از احراز هویت اساسی سپس یک مرورگر کوکی را ارسال می کند که اعتبارنامه را در header مجوز حفظ خواهد کرد.
اگر شما از درخواست AJAX استفاده می کنید، توصیه من این است که با احراز هویت کوکی یا مهاجرت به JWT بمانم. توجه داشته باشید که اگر API از یک نام میزبان دیگر نامیده می شود (به عنوان مثال www.example.com یک api را در api.example.com فراخوانی می کند)، سرصفحه های مربوط به CORS برای اجازه دادن به اعتبار ها باید به درستی تنظیم شوند
هش – به طور امن دانلود lubuntu از سیستم غیر اوبونتو
روش توصیه شده برای پیدا کردن کلید عمومی که برای تأیید هشهای اوبونتو نیاز دارید، تلاش برای بررسی یک امضا از فایل هش است (که هر دو از آنها به صورت واضح دانلود شده است). این یک خطا نشان می دهد که کدام کلید برای امضای هش استفاده شد:
gpg: امضا ساخته شده پنجشنبه آوریل 22:19:36 2018 EDT با استفاده از شناسه کلیدی DSA FBB75451
gpg: نمیتوان امضا را بررسی کرد: کلید عمومی وجود ندارد
gpg: امضا ساخته شده پنجشنبه 5 آوریل 22:19:36 2018 EDT با استفاده از شناسه کلید RSA EFE21092
gpg: نمیتوان امضا را بررسی کرد: کلید عمومی وجود ندارد
سوال من این است: اگر همه چیز در متن واضح بارگیری شده باشد و مهاجم میتواند ISO و فایل هش را اصلاح کند، آیا آنها نیز نمیتوانند فایل هش را با کلید عمومی خودشان امضا کنند و سپس این کلید را به سرور اصلی انتشار دهند؟ من امضای خود را دانلود می کنم که کلیدی را که من می خواهم از سرور اصلی دانلود کنم. آیا لازم نیست حداقل دسترسی امن به شناسه کلیدی برای کلید عمومی خود داشته باشم؟
چگونه می توانم به طور امن لینوکس را دانلود کنم اگر قبلا کپی امضای اوبونتو در دستگاه من نداشته باشد؟
هش – به طور امن دانلود lubuntu از سیستم غیر اوبونتو
” alt=”هش - به طور امن دانلود lubuntu از سیستم غیر اوبونتو
">
آیا یک آدرس IP ثابت می تواند یک شناسه کاربری قابل اعتماد در محیط امن باشد؟
آیا می توان یک عمل قابل قبول بود اگر ما یک مشتری (فرد یا شرکت) را با مرتبط کردن آدرس IP های ثابت خود برای ثبت اقدامات ایمن که فقط مشتریان مجاز می توانند انجام دهند، ثبت نام کنیم؟ من به پاسخ هایی پاسخ دادم که محدود کردن مشتریان توسط آدرس های IP ثابت آنها یک حفاظت اضافی خوب است و دروغ کردن آدرس IP یک حمله عملی در ارتباط دو طرفه نیست. من می خواهم بدانم که از دیدگاه امنیتی قابل قبول است و از IP استاتیک مشتری استفاده می کند که تنها وسیله ای برای تأیید اعتبار مشتری است. چطوری خطرات مشخصی در رابطه با این روش وجود دارد؟
