تأیید – برگه 11 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

می 6, 2018

تأیید هویت – هش رمزگذاری شده در مقابل MAC

من (به اعتقاد من) از تفاوت کلی بین یک هش و یک MAC آگاهی دارم؛ سابق برای یکپارچگی استفاده می شود و دوم برای احراز صحیح و احراز هویت به عنوان آن نیز یک کلید مخفی را به عنوان ورودی علاوه بر پیام می گیرد.

اما اگر من پیام هش را رمزگذاری کنم، با استفاده از کلید مخفی (یکی است که جدا از کد مورد استفاده برای رمزگذاری پیام است) و ارسال آن به جای MAC؟ آیا خواص مشابهی با ارسال یک MAC ندارید؟

در هر دو مورد ما یک پیام و یک کلید مخفی برای محاسبه هش / MAC رمزگذاری شده وارد می کنیم، به طوری که به نظر می رسد هر دو صداقت و صحت ارائه شده است.

اگر نه، در چه شیوه ای، یک دشمن قادر به شکستن اصالت یک طرح است که همراه با هر پیام رمز شده، یک هش رمزگذاری شده (با استفاده از یک کلید مخفی جداگانه) ارسال می کند؟

می 5, 2018

چگونه تأیید زنجیره اعتماد برای تأیید هویت گواهی بر روی سرور انجام می شود؟

در حال حاضر نیاز دارم که گواهی ROT CA، Cert Mid-CA و Client Cert را در کلاینت برای آن برای اتصال به سرور وارد نمایم. سرور با استفاده از دستور SSLCACertificateFile دسترسی به گواهی Root-CA دارد.

من فکر می کنم که در حال حاضر سرور نمی تواند Midmediate-CA را تأیید کند، زیرا دسترسی به Cert ندارد. بنابراین مشتری به مشتری می آید. آیا این درست است؟

اگر چنین است: چگونه می توانم سرور را برای تأیید زنجیره اعتماد در اختیار خودم قرار دهم؟ شاید نشانی اینترنتی در گواهینامه امضاء کننده باشد؟ اضافه کردن بیش از یک دستور SSLCACertificateFile کار نمی کند.

می 4, 2018

چرا پرونده تأییدنامه تأیید در وب بسیار محبوب است؟ به نظر می رسد احمقانه است

در حالیکه در حال پنتیدن، من در بسیاری از سایت ها با استفاده از یک پرونده ارائه دهنده مجوز، به نظر می رسد که به نظر من طراحی ضعیف ضعیف من است. این برای سازگاری تلفن همراه نیست، زیرا بسیاری از سایت ها حتی برنامه های تلفن همراه یا API های مورد استفاده توسط احزاب 3 را ندارند. اگر چه حتی اگر آنها انجام دادند، هنوز هم به نظر انتخاب بدی است.

دلیل آن برای من معنی ندارد زیرا آنها مزایای کوکی HTTPOnly را از دست می دهند. این بدان معنی است که اگر XSS در برنامه وجود داشته باشد، کل جلسه کاربر به خطر می افتد.

نامزدی نامحدود این بدان معنی است که هدر احراز هویت را با هر درخواست مشتری اضافه می کند مانند:

 GET / userdata HTTP / 1. 1
میزبان: site.com
حامل مجوز: [Token]
اتصال: نزدیک است

آوریل 30, 2018

تأیید هویت – 4 کلمه رمز

با توجه به xkpassword اگر رمز عبور 4 کلمه باشد، آن امن و قابل فهم خواهد بود. من می خواهم یک برنامه وب را ایجاد کنم و کاربران را با استفاده از حداقل 16 عدد رمز عبور این کار را انجام دهم و باید آن را حداقل 4 کلمه برای امن تر و به یاد ماندنی تر داشته باشم، اما مهاجم می داند که تمام گذرواژه ها همانند ، آیا این ایدهی بدی است ؟ چه راه های بهتر برای انجام کلمه عبور امن تر و به یاد ماندنی در همان زمان؟

آوریل 21, 2018

پایگاههای داده – تعریف در شناسه های تأیید هویت

این سوال به چندین سوال تقسیم شده است که – حداقل در مورد SO – بر روی آن خنثی شده است، اما به یک سوال اصلی که عبارت است از: روش صحیح استفاده از احراز هویت نشانه ها

در اینجا دانش من در مورد چگونگی تأیید شناسه ها کار می کنند، اما این تنها فرضیه ها است، زیرا من نمی توانم اطلاعات مفیدی در اینترنت پیدا کنم.

وقتی یک کاربر وارد سیستم می شود، Token authentication در پایگاه داده، مجددا نسخه قبلی خود را تغییر می دهد.
کوکی های تأیید هویت باید پس از یک مقدار معینی از زمان پایان یابد. (اگر کاربر بتواند این زمان را پیکربندی کند؟)
کوئین های تأیید باید در سمت سرویس گیرنده به عنوان کوکی ها ذخیره شوند.
وقتی کاربر کاری انجام می دهد که برای احراز هویت (برای مثال ایجاد یک پست) کد تأیید هویتی که آنها عرضه می کنند در برابر یک شناسه کاربری تأیید شده است که نیز عرضه می شود. فقط اگر آنها مطابقت داشته باشند، اجازه می دهم آنها پست را ایجاد کنند.

آیا این همه درست است؟ و آیا چیز دیگری وجود دارد که باید بدانم؟

من تکرار خواهم کرد که من مطمئن هستم که کسی این را مبهم و یا بازجوئی در نظر می گیرد، بنابراین می خواهم در صورت نیاز هر چیزی را روشن کنم.