نوشته‌شده در

api – HMAC و با استفاده از فیلد تصادفی ایمن رمزنگاری به عنوان پیام

بگو که من یک برنامه بزرگ دارم که می خواهم یک API امن ایجاد کنم. راه های استاندارد رفتن این است که با کلید عمومی API و یک کلید API مخفی کار کنند و این را به کاربر ارائه دهند. بعد، در هر درخواست API، پیام ها با استفاده از MAC بر روی کلید مخفی و (بخشی از) پیام امضا می شوند.

اکنون، از آنجا که این برنامه بزرگ است، نمی خواهم انتخاب کنم در صورت درخواست API من برای پاسخ دادن به یک سؤال، message = answer ، اگر درخواست API من برای ارسال نظر بود message = comment و غیره …).

برای راحتی، از این به بعد می خواهم یک فیلد تصادفی ایمن رمزنگاری اضافه کنم، که بر روی هر درخواست اضافه می شود (اجازه دهید با نام این نمک نام خود را بنویسیم). به این ترتیب من می توانم یک تأیید درخواست را که همه شرایط را پوشش می دهد بنویسم.

پرسش های من در حال حاضر است:

آیا این ایده خوبی است و چرا (نه) خیلی؟

نوشته‌شده در

چگونگی ایمن حساب توییتر (حتی اگر گذرواژه شما به سرقت رفته باشد)

IMG_0219

امنیت حساب مهم است نه فقط برای خرید آنلاین و حساب های بانکی، بلکه حساب های اجتماعی شما نیز وجود دارد. آسیب شخصی که می تواند به زندگی شخصی و حرفه ای شما انجام دهد، می تواند ویرانگر باشد. درست مانند هر حساب مهم دیگر، باید اقدامات لازم را انجام دهید تا مطمئن شوید تنها کسی هستید که دسترسی به آن را داشته باشید.

به روز رسانی: توییتر فقط اعلام کرد رمزهای عبور در متن ساده در سرورهای خود هستند و احتمالا می توانیم متوجه شویم که برخی از افراد یک فایل با رمز عبور همه دارند. بنابراین…. شما باید رمز عبور خود را تغییر دهید. و تأیید اعتبار دوگانه را فعال کنید که مانع از ورود هر کسی به عنوان شما می شود، حتی اگر گذرواژه شما را سرقت کند یا توییتر فقط شروع به چاپ کردن گذرواژه های خود و ارسال آنها به افراد تصادفی می کند.

چند هفته پیش من ذکر کردم توییتر از یک دوست بسیار نزدیک من. این یک صدای جیر جیر خالص با یک لینک بود – چیزی که او هرگز انجام نخواهد داد. من بلافاصله به نمایه خود پریدم تا ببینم این نوع توییت ها برای چند روز اتفاق افتاده و تعداد زیادی از آنها بوده است. با توجه به ماهیت کارش، می دانستم این بد است. من از او خواستم تا بفهمد که اتفاق می افتد و او به سرعت از وضعیت مراقبت می کند.

مرتبط شده است: چگونه حساب توییتر خود را حذف کنید

این فقط یکی از بسیاری از سناریوها که می تواند بازی کند اگر شما حساب های اجتماعی خود را به درستی امنیت نکنید. بیایید در مورد چگونگی اطمینان از این که آیا این اتفاق برای حساب شما رخ نمیدهد؟

در حالی که میتوانید بیشتر مواردی را که امروز از برنامه توییتر صحبت میکنیم، انجام دهید. ما بیشتر از این موارد را از وب پوشش می دهیم.

همانند بسیاری، شما می خواهید در تنظیمات حساب توییتر خود شروع کنید. چندین منطقه برای تمرکز در اینجا وجود دارد، از اولین خط دفاع شما شروع می شود: رمز عبور شما

رمز عبور قوی را انتخاب کنید

من می دانم که قبلا آن را شنیده اید، اما من قصد دارم این مرد باشم که نگه می دارد آن را می گویند تا زمانی که شما گوش دهید: شما باید از یک رمز عبور قوی استفاده کنید. این یک گزینه نیست – اگر آن را برای هر کسی که میشناسید حدس بزنید، آن قوی نیست! اگر همه چیز طول بکشد، کسی که کمی دربارهی شما علاقهمند باشد – رنگ مورد علاقه، نام حیوانات خانگی، نام فرزندان یا تولدها، و غیره – برای حدس زدن گذرواژه خود، پس از آن هیچ رفتاری نیست. من آن را دریافت می کنم، کسانی که ساده ترین به یاد داشته باشید. میدانم. اما آنها نیز ناامن هستند.

مرتبط: چرا شما باید از یک مدیر رمز عبور استفاده کنید و چگونه می توانید شروع کنید

البته رمز عبور شما امن تر است ، سخت تر این است که به یاد داشته باشید. به این ترتیب، شما واقعا باید از مدیر رمز عبور استفاده کنید. من سالها از LastPass استفاده کرده ام – هر رمز عبور که از پشت درهای قفل شده من استفاده می شود، استفاده می شود و عالی است. رمز عبور اصلی LastPass من را به یاد می آورم و برای من بقیه کارها را انجام می دهد. این رمزهای ایمن را ایجاد می کند و آنها را به یاد می آورد، بنابراین من مجبور نیستم.

هنگامی که شما به یک شیوه زندگی از گذرواژه های امن متعهد هستید، وقت آن است که این رمزگشایی توییتر شما را تغییر دهید. از تنظیمات حساب توییتر ، روی «رمز عبور» کلیک کنید.

2016-12-01_09h38_24

ابتدا باید رمز ورود قدیمی خود را وارد کنید، یک جدید انتخاب کنید یکی اگر LastPass (یا هر ژنراتور رمز عبور دیگر) را تنظیم کنید، فقط می توانم آن را انجام دهم. هنگامی که تمام شد، فقط روی «ذخیره تغییرات» کلیک کنید.

2016-12-01_09h39_24

کار خوب، اکنون یک گام نزدیکتر به داشتن یک حساب امن است.

استفاده از اعتبار دو فاکتور SMS

خط دوم امنیت شما، احراز هویت دو مرحله ای است که اغلب به نام Authentication دو فاکتور (و یا 2FA به صورت کوتاه) است. توییتر واقعا این را حتی ساده تر می کند، فقط با فراخوانی «تأیید ورود»

این بدان معنی است که هر زمان که شما (یا هر کس دیگری) سعی در ورود به حساب توییتر خود کنید، همچنین نیاز به یک کد منحصر به فرد که به شماره تلفن شما، یا سرویس 2FA شخص ثالث. البته اگر فردی گوشی شما داشته باشد، به طور کامل کمک نمی کند، اما در آن زمان شما باید خیلی بیشتر از نگرانی در مورد توییتر صحبت کنید.

برای تنظیم تأیید ورود، به تنظیمات توییتر خود بروید، که شما به بخش "حساب" بروید. به دنبال «امنیت» باشید و باید دکمه «تنظیم ورود به سیستم» را ببینید.

روی آن جعبه کلیک کنید. یک پنجره ظاهر خواهد شد، به شما این امکان را می دهد که ویژگی را تنظیم کنید.

2016-12-01_09h43_51

اینجا را کلیک کنید، سپس رمز عبور خود را وارد کنید.

2016-12 -01_09h44_35

در صفحه بعد از شما خواهش میکنم شماره تلفن خود را تأیید کنید – پس از تایید اینکه شماره درست است، روی «ارسال کد» کلیک کنید.

2016-12-01_09h44_43

در عرض چند ثانیه، شما باید یک کد ارسال شده به تلفن خود دریافت کنید. ورودی که در صفحه بعدی تایید می شود.

2016-12-01_09h45_43

پس از وارد کردن کد، به شما اطلاع خواهد داد که تأیید ورود به سیستم در حساب شما فعال است و کدهای پشتیبان را ارائه می دهد . اگر اکنون این کار را نکنید، همیشه میتوانید با دسترسی به تنظیمات> امنیت و حریم خصوصی دوباره آنها را دریافت کنید.

2016-12-01_09h46_01

هنگامی که درخواستهای ورودی فعال شد، یک جدید گزینه نیز نشان داده خواهد شد: ایجاد رمز عبور برنامه. اساسا، این یک گذرواژه موقت ایجاد می کند که می توانید از آن برای ورود به توییتر در دستگاه های جدید یا در برنامه ها استفاده کنید. گذرواژه موقت پس از یک ساعت منقضی میشود و این یک ویژگی امنیتی خوب برای ورود به سیستمهای سریع است.

2016-12-01_09h49_10

با همه چیز همه تنظیم شده، به پایین پایین صفحه و کلیک بر روی "ذخیره تغییرات" مهم است

2016-12-01_09h54_21

استفاده از دو فاکتور تأیید هویت مبتنی بر کاربرد

مرتبط: استفاده از SMS برای تأیید هویت دو عامل (و آنچه که در عوض استفاده می کنید)

توییتر پیش فرض کدهای تایید پیامک را ارسال می کند، اما به دلیل بسیاری از احراز هویت دو عامل بر اساس اس ام اس، به دلایل بسیاری ناامن است. خوشبختانه توییتر اکنون از برنامه های تایید شخص ثالث مانند Authy پشتیبانی می کند. این ابزارها یک رکورد امنیتی بهتر از SMS دارند و ما توصیه می کنیم از آن استفاده کنید.

برای راه اندازی ابتدا باید ابتدا احتیاج به دو عامل را بر اساس اس ام اس تنظیم کنید، بنابراین دستورالعمل بالا را دنبال کنید. بازگشت به بخش «حساب» در تنظیمات توییتر خود و دکمه ای که پیش از آن فشار داده اید، اکنون برچسب «بررسی روش ورود به سیستم ورود خود را» مرور کنید.

دوباره روی دکمه کلیک کنید و به

روی پیوند «تنظیم» کنار «برنامه امنیتی موبایل» کلیک کنید و روند شروع خواهد شد.

روی «شروع» کلیک کنید. و شما یک کد QR برای اسکن با نرم افزار 2FA تلفن همراه از انتخاب خود داده می شود.

نحوه انجام این کار بسته به برنامه 2FA شما متفاوت است، اما در Authy آن را ساده به عنوان بهره برداری از منو به دنبال "اضافه کردن حساب جدید"، سپس دستورالعمل ها را دنبال کنید.

کد را اسکن کنید و انجام می شود. ما توصیه می کنیم که پس از تنظیم این پیام، تأیید پیام متنی را غیرفعال کنیم تا بتوانیم خودمان را از کمبودهای امنیتی اس ام اس محافظت کنیم.

اطلاعات شخصی با بازنشانی رمز عبور

نیاز است. در همان منو که درخواست ورود به سیستم را تنظیم می کنید، گزینه دیگری وجود دارد احتمالا می خواهم آن را نیز فعال کنم: "اطلاعات شخصی را برای بازنشانی گذرواژه من احتیاج دارد"

2016-12-01_09h54_02

وقتی این علامت را علامتگذاری میکنید، توییتر قبل از اطلاعات شخصی شما اجازه می دهد که رمز عبور تنظیم مجدد شود. این امر اساسا به جلوگیری از جنجال بر سر حساب شما توسط بازپرداخت گذرواژه شما کمک می کند تا از مرتکب جرائم حساب شده توسط شما جلوگیری شود.

2016-12-01_09h54_12

هنگامی که جعبه کوچکی را علامت زده اید، روی "ذخیره تغییرات" دکمه در پایین صفحه.

نگاهی به برنامه های متصل

مانند دیگر حساب ها – گوگل، فیس بوک و غیره – می توانید از توییتر برای ورود به سایر برنامه ها و خدمات استفاده کنید. این یک راه بسیار ساده برای به دست آوردن دسترسی به خدمات خاص به سرعت و به آسانی است، به ویژه کسانی که در نهایت قادر به ارسال تویت ها به حساب شما هستند.

اما با گذشت زمان، شما ممکن است از استفاده از این برنامه ها متوقف شوید. به همین دلیل است که همیشه یک ایده خوب است که به آنچه که دسترسی به آن داده اید توجه داشته باشید. اگر دیگر از این برنامه یا سرویس استفاده نکنید، دسترسی آن را لغو می کند. هیچ نقطه ای در دسترسی به چیزی که شما استفاده نمی کنید!

برای این، بر روی صفحه «Apps» در صفحه تنظیمات حساب کاربری خود کلیک کنید. نزدیک به پایین صفحه است.

2016-12-01_10h08_04

فقط از طریق لیست بروید – اگر چیزی را منسوخ کنید، فقط روی دکمه «لغو دسترسی» کلیک کنید. این برنامه را برای هر برنامه ای که استفاده نمی کنید، تکرار کنید. من می خواهم برگردم و این لیست را نیز هر چند ماه یک بار بررسی کنم، فقط برای پاک کردن آن.

اگر تصادفی اتفاق می افتد که بر روی یک برنامه که هنوز استفاده می کنید بر روی "لغو" کلیک کنید، "Undo Revoke Access" آماده است برای شما. این بسیار راحت است

2016-12-01_10h12_06

در حالی که تعدادی از مناطق دیگر در تنظیمات حساب توییتر وجود دارد که شما همچنین ممکن است بخواهید مثال دقیق تر را در مورد اطلاعیه ها مشاهده کنید، آنها لزوما به طور مستقیم با امنیت حساب کاربری شما مرتبط است. آن را کمتر آزار دهنده مطمئن. با این حال، آنچه که امروز در اینجا به آن پرداخته ایم، آجر و ملات است تا اطمینان حاصل شود که حساب شما همانطور که می تواند باشد.

نوشته‌شده در

ایمیل – آیا برای استفاده از حساب همان گوگل برای برقراری ارتباط با کاربران و برای AdSense و تجزیه و تحلیل ایمن است؟

آیا من باید 2 حساب جداگانه داشته باشم، یکی برای برقراری ارتباط با کاربران وب سایت و ارسال ایمیل های خودکار با گواهی مانند تایید حساب، بازنشانی رمز عبور، و غیره و یک حساب برای تجزیه و تحلیل، AdSense و همه چیز؟

آیا وجود دارد خطرات امنیتی با توجه به این واقعیت است که بسیاری از مردم آدرس جیمیل را می دانند، غیر از ایمیل های اسپم و همه اینها، یا بهتر است که حساب های جداگانه ای داشته باشیم؟

نوشته‌شده در

ایمن با جلسات – Exchange Security Stack Security

من تلاش می کنم برای ایجاد یک صفحه ورود به سیستم برای یک وب سایت رسانه های اجتماعی کار کنم، اما می خواهم در برابر تزریق و همه چیز محافظت کنم.

صفحه ورود
    

     $ result = LoginManager :: ورود ($ username، $ password)؛

    اگر ($ نتیجه == "invalid_username") {
        echo نام کاربری نامعتبر! '؛
    }

    اگر ($ result == "invalid_login") {
        echo 'ورود نامعتبر!'؛
    }

    $ expires = gmdate ('Y-m-d'، strtotime ($ Date. + 1 روز))؛
    DataBase :: query ("INSERT INTO sessions VALUES (: session،: userid،: expires)"، array (': session' => $ result، ': userid' => $ userid، ': expires' => $ expires ))

    setcookie ("جلسه"، $ نتیجه)؛
    //
    برگشت؛
}

echo '

        
 نام کاربری: 

        
 رمز: 

        

    
'؛
؟>

LoginManager 

  16 || strlen ($ password)> 50 || strlen ($ password) < 5){
        return 'invalid_bounds';
    }

    $sql = "SELECT * from accounts WHERE username = :username";
    $users = Database::query($sql, array(':username' => $ username))؛

    اگر (sizeof ($ کاربران) == 0) {
        return 'invalid_username'؛
    }

    $ userdata = $ کاربران [0]؛

    $ salt = '-45dfeHK / __ yu349 @ - / klF21-1 _  / 4JkUP / 4'؛
    اگر (password_verify ($ password. $ salt، $ userdata ['password'])) {
        $ session = com_create_guid ()؛
        بازگشت $ session؛
    } else {
        بازگشت 'invalid_login'؛
    }
}

؟>

سپس صفحه اصلی (مثال کار با جلسه) 

  $ session))؛

اگر (sizeof ($ sessions) == 0) {
    // تغییر مسیر برای ورود به صفحه
    برگشت؛
}

$ session = $ sessions [0]؛

$ date = جدید DateTime ($ session ['expires'])؛
$ now = جدید DateTime ()؛

اگر ($ تاریخ < $now) {
    //Expired session : Redirect to login
    return;
}

//Display feed

?>

آیا نقصی وجود دارد که می تواند مشکلات جدی مانند تزریق یا جلسه سلامی و / یا مناطقی را که من باید بهبود ببخشد، ایجاد کنم؟

نوشته‌شده در

کدام یک از این کشورها دارای طراحی ایمن ترین پلاگین برق است؟

پاسخ: انگلستان

یک شانس بسیار خوبی است که شما از سیستم منبع تغذیه و پلاگین در کشور خودتان استفاده کرده و هرگز در مورد آن فکر نکرده اید. رسانه ها در دیوار قرار گرفته اند، شاخه ها نیاز به قدرت برای چیزهایی دارند که می خواهید استفاده کنید – چرا آنها کریسمس یا لپ تاپ شما هستند – آنها آن را وصل می کنید، و این چیزی است که. اما اگر یک لحظه به عقب بر گردید از آگاهی از زندگی روزمره و نگاه کردن به خروجی ها و شاخه ها از سراسر جهان، شما ممکن است شگفت زده شوید برای پیدا کردن تفاوت های قابل توجه و استفاده از شاخه ها و شاخه های مورد استفاده در انگلستان فوق العاده خوب طراحی شده است. شاخه ها و شاخه های آنها به خوبی طراحی شده است، در حقیقت، این بسیار آسان است که استدلال کنند که آنها امن ترین خروجی و طراحی پلاگین وجود دارد.

چه چیزی آن را بسیار امن می کند؟ ویژگی های طراحی چندگانه در هر کدام از شاخه ها و خروجی ها وجود دارد که باعث می شود بدون هیچ گونه آزار و اذیت و بی احتیاط به خودتان آسیب بزنید. اول، شاخه ها طراحی شده اند به طوری که پایه زمین در بالای خروجی قرار دارد و پایه های خنثی و زنده در پایین قرار می گیرند، علاوه بر این، پایه های خنثی و زنده به طور جزئی در عایق قرار می گیرند. این جهت گیری تضمین می کند که در صورتی که یک پلاگین در یک سوکت شل شود، نه تنها جسم رسانایی که بین چهره سوکت و پلاگین قرار می گیرد و احتمالا حتی لنزهای زنده یا خنثی را هم نمی کشد (به جای آن به لرزش زمین ضربه بزند)، اما اگر آن را انجام دهد، آن را به بخشی از عایق از لکه ها ضربه.

دوم، پایه زمین طولانی تر از دو دنده دیگر است و در واقع مکانیسم ایمنی در سوکت خود را درگیر است. هنگامی که درپوش را فشار می دهید، پایه طولانی تر زمین را روی یک سیستم شاتر در سوکت فشار می دهد که اسلات ها را برای حالت های خنثی و زنده باز می کند (بخشی از پریز، پرده ها را خاموش می کند و جریان برق را متوقف می کند). نه تنها این باعث می شود که از پلاگین خود ایمن تر استفاده شود، بلکه باعث می شود که کودکان به طور تصادفی خود را با قرار دادن چیزی در یک سوکت، خود را شوکه کنند. برای انجام این کار، آنها نیاز به استفاده از یک راننده پیچ یا ابزار مشابه باریک و قوی برای فشار دادن بر مکانیزم ایمنی در شکاف زمین دارند در حالی که همزمان چیزی را به بخش دیگر سوکت وصل می کنند – یک کار که نیاز پیش بینی و برنامه ریزی کافی دارد زمانی که شما به اندازه کافی بزرگ هستید تا آن را بکشید، شما (امیدوارم) به اندازه کافی قد بلند باشید تا بدانید که بهتر است.

سوم، به عنوان نتیجه انتخاب طراحی که به دوران جنگ جهانی دوم تبدیل شده است، تمام شاخه ها دارای فیوزهای فردی درون آنها هستند به جای تکیه بر یک فیوز یا قطع کننده مدار در یک پانل متمرکز برای ارائه نادیده گرفتن ایمنی مناسب. اگر بار در یک پلاگین شخصی بیش از حد بالا باشد، فیوز بالا میآید.

در نهایت، طراحی داخلی شاخهها کاملا هوشمندانه است. اگر چه شما نمیتوانید آن را در تصویر مشاهده کنید، اگر نگاهی به نقطهای از داخل پلاگین Style U.K. بیاندازید، انتخاب فونت را بلافاصله مشاهده خواهید کرد: سیمهای داخلی طولهای مختلفی دارند. پلاگین طراحی شده است به طوری که در صورتی که سیم کشیده شده و اتصالات پلاگین آسیب دیده باشد، سیمهای زنده و خنثی ابتدا آزاد می شوند و سیم زمین (که برای محافظت از کاربر از دستگاه شوکه می شود) را آزاد می کند. [19659003] همه گفته شده است که این طراحی به طور قابل توجهی باهوش تر در همه جبهه ها نسبت به هر چیز دیگری است که در جهان پیدا می کنید و هر ساله، سال های پیش از دو طراحی و حتی سه طرح (و طرح های زمین). در حالی که همه چیز برای مدت های طولانی در جهان توسعه یافته برای چنین استانداردهای تغییر کرده است، ما قطعا رای رایانه ای برای پذیرش سیستم خروجی و سیستم پلاگین انگلستان در نظر گرفته ایم.

حسن نیت ارائه میدهد از Tiber / GrabCad