نوشته‌شده در

تأیید هویت – API سفارشی امن

من مشتری دسکتاپ را برای یک فروشگاه الکترونیکی ایجاد می کنم و این مشتری از بعضی از توابع با استفاده از API e-shop استفاده خواهد کرد، مانند: 

 GetOrders
UpdateOrder
SetOrder
و غیره...

من تأیید هویت سفارشی را برای آن مشتری ایجاد می کنم، اما نمی دانم این است که در برابر حملات امن است.

تمام ارتباطات با سرویس گیرنده توسط HTTPS انجام می شود.

این کار به این صورت است: [19659006] در اولین درخواست مشتری باید نام کاربری و رمز عبور را برای
سرور بنابراین سرویس گیرنده هش رمز عبور را به چه کاربر ورودی و سپس پس از آن
مشتری درخواست را به سرور با نام کاربری و هشدار ارسال خواهد کرد
رمز عبور

  • سرور رمز عبور هشدار را با رمز عبور هشدار در DB مقایسه می کند
    نام کاربری، اگر آن برابر باشد، سرور سرور را ایجاد می کند (مانند api key)

  • در هر درخواست سرور موفق، طول عمر نشانه را تجدید می کند.

    • درخواست ها باید مانند این باشد: 

     ] POST / دستورات / دریافت HTTP / 1.1
میزبان: example.com
token = 123456789 & orderid = 10

    آیا توصیه های امنیتی وجود دارد اگر من باید از درخواست های POST یا درخواست های GET استفاده کنم؟ آیا POST امن تر نیست و سپس دریافت؟ به عنوان مثال POST اطلاعات را در قسمت درخواست HTTP ذخیره می کند، اما GET آن را در URL ذخیره می کند.

    نوشته‌شده در

    آیا استفاده از TLS، SSH و SSL در یک اتصال امن تر می شود؟

    پروتکل های رمزگذاری شبکه چند لایه به طور خاص اطلاعات محرمانه یا یکپارچگی داده های باربری شما را انتقال نمی دهد. در حالی که SSL شکسته شده است (پروتکل SSL2 و SSL3)، TLS نسبتا قوی است، به ویژه TLS1.2 و TLS1.3 آینده. همانند SSH2 درست است (تقریبا تمام اتصالات SSH مدرن از SSH2 استفاده می کنند)، که همچنین از الگوریتم های قوی و امن استفاده می کند. پروتکل های متعدد لایه بندی خطر احتمال پیاده سازی یک پروتکل را برای حمله ی مرگبار آسیب پذیر می سازد و موجب می شود که لایه ی آن ها بدتر شود.

    اساسا، تمام این پروتکل های مختلف، پیاده سازی الگوریتم های مشابه (یا معادل) هستند. هر دو TLS و SSH از DHE یا ECDHE برای ایمن مبادله کلید مخفی استفاده می کنند، هر دو از رمزهای قوی مانند AES برای رمزگذاری اطلاعات خود با کلید رمز مخفی پشتیبانی می کنند و هر دو از تکنیک های قوی مانند HMAC برای محافظت از یکپارچگی داده ها استفاده می کنند. آنها تنها در آنچه که برای بهینه سازی هستند متفاوت است. به عنوان مثال SSH دارای ویژگی هایی است که زمان تأخیر برای ارسال کلید های کلیدی را کاهش می دهد، در حالی که TLS دارای ویژگی های فراوانی برای پشتیبانی از PKI قابل اعتماد (زیرساخت کلی عمومی) است.

    در عوض، شما باید یک پروتکل واحد را انتخاب کنید که برای نیازهای شما مناسب است از آن استفاده کنید. برای چیزی شبیه اتصال به پایگاه داده MySQL، احتمالا بهترین استفاده از TLS است. این برای این نوع اتصالات بهینه شده است، در حالی که SSH بهینه سازی های مختلفی دارد که ممکن است لازم نباشد. از لحاظ الگوریتم های رمزنگاری واقعی استفاده شده، همه آنها به همان اندازه قوی هستند.

    نوشته‌شده در

    مرورگر وب – GET، هشدار MAILTO – چگونه می توانم بفهمم که آیا یک سایت امن است یا خیر؟

    مدیر رمز عبور من به من هشدار میدهد وقتی به سایتهای خاصی میروم. آنها می گویند اگر فکر می کنم می توانم به سایت اعتماد کنم و از آن استفاده کنم …. این باعث می شود که من چیزی نپرسم.

    هشدار ظاهر من وقتی وارد صفحه ورود به سیستم در سایت میشوید: "وبسایت میگوید" LastPass شناسایی یک ورودی از آن ناامن است. آیا میخواهید ادامه دهید؟ "

    اسناد و مدارک : https://lastpass.com/support.php؟cmd=showfaq&id=7336

    مشکل من این است که من هیچ نظری ندارم که آیا باید ادامه بدهم یا نه.

    سوالات:

    1) چگونه می توانم تعیین کنم آیا یک سایت INSECURE است یا خیر، زیرا از روش GET یا MAILTO استفاده می کند؟

    2) چگونه می توانم تعیین کنم که آیا یک سایت SECURE است یا نه با استفاده از GET یا MAILTO اما LP فکر می کند که آن را انجام می دهد و آن را یک اشتباه مثبت است، و غیره؟؟ 1969004] 3) من یک سایت را دنبال کردم که در آن من هشدار داده بودم و آنها گفتند که از AJAX استفاده می کنند و نه دریافت می کنند … این مسئله است و چطور می توانم تأیید کنم چون آنها می گویند آنها به زودی به این مسئله می پردازند که من را متعجب می کند که آیا می توانم با خیال راحت از آن استفاده کنم سایت؟

    من از LP درباره این موضوع خواسته ام و آنها بیشتر از چیزی که من در بالا به آن اشاره کرده ام نمی روند.

    نوشته‌شده در

    میدان امن ثبت اختراع که می اجازه تجار به قبول پرداخت Cryptocurrency

    میدان امن ثبت اختراع که می اجازه تجار به قبول پرداخت Cryptocurrency

    پرداخت تلفن همراه پردازشگر میدان شرکت امن ثبت اختراع جدید است که اجازه می دهد تا تجار به قبول پرداخت cryptocurrency حرکت است که می تواند به تسریع تصویب دیجیتال دارایی های مصرف کنندگان و کسب و کار.

    پرکردن پرداخت شبکه

    با توجه به اسناد عمومی به دست آمده در اوت 21, مربع توسط ایالات متحده ثبت اختراع و علائم تجاری دفتر (USPTO) برای شروع یک سیستم جدید است که اجازه می دهد تا تجار به پذیرش پرداخت در هر ارز مورد تایید است از جمله crpytocurrencies. حق ثبت اختراع در سپتامبر 2017 ثبت شده است.

    حق ثبت اختراع ایالات زیر:

    “آدرس تکنولوژی افشا نیاز در هنر به خدمت پرداخت قادر به پذیرش تنوع بیشتر ارزهای… از جمله ارز مجازی از جمله cryptocurrencies (bitcoin، اتر، و غیره) … از سیستم پرداخت سنتی در معامله بین مشتری و تاجر و به طور خاص برای سرویس پرداخت برای حل و یا در مشکلات دو وابسته معاملات با چنین ارز را بهبود بخشد. به طور خاص، خدمات پرداخت شرح داده شده در اینجا زمان واقعی (یا قابل ملاحظه ای زمان واقعی) معاملات، اجازه می دهد مشتریان به پرداخت در هر ارز انتخاب خود را در حالی که تاجر می تواند در دریافت به پرداخت ارز انتخابی خود را تسهيل كند.”

    شرکت مستقر در سان فرانسیسکو در حال حاضر کمک می کند تا میلیون ها نفر از فروشندگان اعتباری و بدهی کارت های پرداخت آنلاین و در شخص از طریق موبایل و یا آشپزخانه خوانندگان.

    در سه ماهه آخر دوره پرداخت ناخالص چهارگوش، رسیده 21.37 تریلیون دلار، با توجه به Statista . در 2017، شرکت درآمد خالص سالانه از 2.2 میلیارد دلار با حسابداری درآمد معامله بیش از 87 درصد از کل تولید می شود.

    میدان توسط جک دورسی یکی از بنیانگذاران و مدیر عامل توییتر در سال 2009 تاسیس شد. دورسی طرفداران مشتاق از cryptocurrencies است و معتقد است که جهان تبدیل خواهد شد به bitcoin است ‘ارز تک’ در حدود ده سال. بنابراین جای شگفتی نیست که شرکت خود را تلاش برای ادغام پرداخت پرکردن در حلقه های سنتی مصرف کننده منجر است.

    ثبت اختراع Bitcoin است پوشیدگی شماره

    میدان نه تنها اجازه می دهد تا تجار به قبول cryptocurrencies، آن را نیز برای از بین بردن رکود در معاملات blockchain بازتابي. ثبت اختراع سیستم موجب آن bitcoin و دیگر پرداخت پرکردن تقریبا یکسان به عنوان معاملات کارت اعتباری که سرعت پردازش اطلاعات بیشتر. این از طریق blockchain خصوصی است که در زمان واقعی معاملات ساخته شده از میدان را کیف پول ثبت انجام خواهد شد.

    در حالی که منتقدان را دریابند که bitcoin و دیگر دارایی های دیجیتال نمایندگی فروشگاه از ارزش، بتواند خود را در میان حلقه های جریان اصلی تا خریداران منظم می توانید پرداخت برای کالا و خدمات با استفاده از کیف پول خود را پرکردن کامل نخواهد بود. اگر چه تصویب تجاری در حال رشد در کلیدی بازارهای آسیایی مانند ژاپن، که در آن bitcoin روش مشروع در نظر گرفته شده است، پرداخت پرکردن اندک نمایندگی از بازار blockchain.

    در حال حاضر تلاش جریان به تغییر آن هستند. علاوه بر این دو میدان پرداخت شبکه راه اندازی جدید با نام Bakkt به bitcoin پرداخت را خرید تجربه موبایل شماست. بین قاره ای استارباکس و مایکروسافت، در میان دیگران حمایت، Bakkt دو ضرر به اقتصاد جهانی است که حدود 25 تریلیون دلار در هزینه های کارت اعتباری و خرید آنلاین بسیار هیجان زده به دنبال.

    سلب مسئولیت: نویسنده صاحب bitcoin، Ethereum و دیگر cryptocurrencies. او موقعیت سرمایه گذاری در سکه های اما شرکت در کوتاه مدت و یا معامله در روز.

    تصویر ویژه نیت Shutterstock.

    فیلترشکن پرسرعت