نوشته‌شده در

کانادا می رود سبز به عنوان سناتور تأیید تفریحی ماری جوانا لایحه

ادغام انتظار می رود بین کانادا آرورا MedReleaf ماری جوانا شاهدانه و رو سهام بالاتر در تاریخ چهارشنبه، ارسال سیگنال های قوی است که تثبیت جریان جلوتر از برنامه ریزی شده قانونی کردن امسال.

بزرگترین ادغام همیشه

آرورا شاهدانه، یکی از بزرگترین شرکتهای ماری جوانا کانادا قرار است MedReleaf را در ادغام همه بورس ارزش 2.2 تریلیون دلار خرید. با توجه به بیانیه رسمی معامله شرکت ادغام شده تازه به تولید 570.000 پوند (1.26 میلیون پوند) فعال سال شاهدانه در سراسر نه امکانات در کانادا و دو در دانمارک.

انتظار می رود که معامله در ماه اوت، فقط چند ماه قبل از دولت کانادا legalizes گلدان تفریحی نهایی شود. کانادا به عنوان دارو در تاریخ 1 مجموعه است اما یک سری تنگناها عقب رانده تاریخ تا سقوط.

بر اساس شفق قطبی خواهد شد پیشنهاد MedReleaf 3.575 سهامداران سهام در شفق قطبی در ازای هر واحد در MedReleaf آنها را به اتمام.

“آن به ما می دهد که رد پای در انتاریو، آن ما به یادگیری فتوشاپ برای بازار بالغ استفاده آماده، گونه که MedReleaf توانسته است به رشد گونه های پیشرو در این کشور مسلما در جهان,” گفت: غرفه تری را شفق مدیر عامل.

انتاریو کانادا استان های پرجمعیت ترین, حسابداری برای حدود 40 درصد از محصول ناخالص داخلی کشور است.

شفق قطبی شاهدانه و MedReleaf دوم و چهارم بزرگترین ماری جوانا کانادا شرکت های بازار سرمایه شده توسط هستند. ، آنها دارای پتانسیل برای بزرگ تر شدن رهبر صنعت شرکت رشد تاج پوشش که در حال حاضر ارزش 6.45 تریلیون دلار است. توجه قیمت های امروز را به شرکت های تازه ادغام شده بیش از 7 میلیارد دلار با حروف بزرگ است.

که گفت: شاهدانه شفق قطبی به عنوان بزرگترین بازی خالص شاهدانه شرکت در جهان، درآمد تمایز آن از طریق یک سری کلید خرید پدید آمده است. با خرید MedReleaf شرکت خود را جای پای قوی در بخش پزشکی ماری جوانا داده است.

صنعت ماری جوانا ماری جوانا سهام بهتر

آمریکای شمالی روز چهارشنبه به عنوان اخبار معامله آرورا MedReleaf ساخته شده راه خود را به سرمایه گذاران به دست آورد.

شاخص ماری جوانا آمریکای شمالی 2/2 درصد برای بستن در $256.64, آن حل و فصل بالاترین در ماه افزایش یافت.

شرکت MariMed (MRMD) و کارکردها دارایی های شرکت (OGI) هنرمندان بالا لون 14.4 و 11.1 درصد بود.

Cronos گروه (CRON) 7.2 ٪ و سایه بان علف رشد Corp. (هرز) 6.9 درصد اضافه شده.

به عنوان سهم قیمت 2.1 ٪ سقوط کرد روز چهارشنبه اخبار ادغام بلند شفق قطبی شاهدانه (ACB)، نشد.

شاخص ماری جوانا کانادا که 24.41 میلیارد دلار با حروف بزرگ است، 2.9% به $660.35 رسید. در همین حال، تریلیون دلار 6.82 نرم آمریکا ماری جوانا شاخص اضافه شده 1.2% به پایان در $90.20.

شاهدانه سهام وال استریت یک روز چهارشنبه outperformed. S & P 500 شاخص فقط 0.1% در طول جلسه به دست آورد.

تصویر ویژه نیت Shutterstock. 

فیلترشکن پرسرعت

نوشته‌شده در

تأیید اعتبار – آیا یک مکانیزم مجوز ثروتمند که در آن رمز عبور روشن در keychain ذخیره می شود امن است؟

آیا استفاده از مکانیزم مجوز استقرار زیر بین مشتری (iOS & Android) و سرور امن است؟

ثبت نام

  1. مشتری یک ایمیل و رمز عبور را فراهم می کند و رمز عبور پاک می کند در Keychain در iOS و با استفاده از یک جایگزین برای آندروید.

  2. سرور قدرت رمز عبور را بررسی می کند، اگر آن را به اندازه کافی قوی که کاربر در DB ایجاد شده است.

  3. سرور یک Token JWT را تولید می کند و آن را به مشتری می فرستد. Token زمان انقضا 15 دقیقه است.

  4. مشتری نشانه را (شاید در Keychain خود ذخیره می کند و شامل آن برای هر درخواست زیر در header Authorization می باشد. 19659004] برای هر درخواست، سرور نشانگر ارائه شده را بررسی می کند (امضا و زمان انقضا را بررسی می کند). اگر درست باشد، درخواست پردازش می شود، در غیر این صورت، HTTP 401 بازگشت می شود.

ورود

  1. هنگامی که مشتری یک HTTP 401 از سرور دریافت می کند، به این معنی ورود به سیستم مورد نیاز است. بنابراین برنامه به Keychain دسترسی پیدا می کند و ایمیل و رمز عبور را دریافت می کند (بدون مداخله کاربر لازم است).

  2. سرور معتبر ارائه شده است و اگر معتبر باشد، آن را تکرار خواهد کرد ثبت نام مراحل از 3 تا 5.

با تشکر از زمان انقضا در Token، اگر یک Token به خطر بیافتد، در طول یک دوره کوتاه معتبر خواهد بود.

اگر یک کاربر وارد سیستم شده باشد چندین دستگاه و رمز عبور خود را از یک دستگاه تغییر می دهد، دستگاه های دیگر فقط برای یک دوره زمانی کوتاه وارد سیستم می شوند، اما رمز عبور روشن ذخیره شده در Keychain [19459009طولانیترنخواهدبود

کدام نقص را می بینید؟

من فکر کرده ام در مورد استفاده از روش نشانه بازنویسی برای جلوگیری از ذخیره رمز عبور پاک، اما این پیچیدگی را اضافه می کند و اشکالات دیگر (برای مثال: چگونگی تضمین refresh token فقط یک بار استفاده می شود). و تا آنجا که من دیده ام، ذخیره رمز عبور روشن در کلید KeyChain به اندازه کافی امن است:

Documentation Services KeyChain

بهترین روش برای حفظ اعتبار ورود به سیستم در iOS چیست؟ [19659012] اما من همچنین سؤالات دیگری را مشاهده کردم که توصیه نمیکنند رمزهای عبور را بر روی دستگاه ذخیره کنند.

بنابراین من می خواهم که نظرات دیگران را در این مورد بشنوم.

</p> <pre>تأیید اعتبار - آیا یک مکانیزم مجوز ثروتمند که در آن رمز عبور روشن در keychain ذخیره می شود امن است؟<br />

نوشته‌شده در

زیرساخت کلید عمومی – تأیید هویت مشتری با استفاده از گواهی در ارتباط M2M

ما قصد داریم سناریوی زیر را برای یک سناریوی ارتباطی ایمن ماشین-ماشین (M2M) اجرا کنیم. ما برخی از دروازه ها و بسیاری از سنسورهای ایمن داریم که فقط باید بتوانند به یکدیگر «صحبت کنند» اگر بتوانند خود را تأیید کنند. هیچ DNS در دسترس نیست، بنابراین همه چیز در حال کار بر روی آدرس آی پی است.

دروازه به عنوان یک CA عمل می کند، به این معنی که CA.crt و CA.key روی آن وجود دارد، که احتمالا در داخل TPM ذخیره می شود. علاوه بر این gateway.crt و gateway.key وجود دارد، جایی که gateway.crt توسط CA صادر می شود. gateway.crt می تواند در زمان اجرا هر زمانی که لازم باشد انجام می شود (به عنوان مثال اگر IP آدرس تغییر کند، که نیاز به تغییر در CN از gateway.crt) ایجاد می شود.

هر سنسور آن را منحصر به فرد sensor.key و sensor.crt. Sensor.crt توسط CA.crt توسط تولید کننده سنسور امضا شده است و CA.crt در سنسور در لیستی از CA های مورد اعتماد ذخیره می شود. تمام حسگرها همانند CN = "TrustedSensor" خواهند بود.

ارتباط با SSL / TLS با هر دو مورد احراز هویت سرور و مشتری انجام خواهد شد. در درک من، برقراری ارتباط و ارتباط باید به عنوان هر نوع دستگاه (دروازه، سنسور) کار می کند CA.crt در فهرست CA های مورد اعتماد خود. چیزی که من مطمئن نیستم این است که همه حسگرها همانند CN = "TrustedSensor" هستند. من نمی خواهم یک پایگاه داده بزرگ حسگرهای قابل اعتماد را در دروازه حفظ کنم، بلکه می خواهم اعتماد کنم به تمام سنسورهایی که یک گواهینامه مطابق با آن وجود دارد که CN نشان دهنده آن است. آیا یک مسئله امنیتی با این رویکرد همه سنسورهای دارای CN همانند است؟

نوشته‌شده در

تأیید اعتبار – به همین دلیل من قادر به استفاده از Maltego نیستم مگر اینکه من پورت 135 (RPC) ورودی بر روی کامپیوتر ویندوز من غیر فعال کنم؟

من در ابتدا تلاش برای استفاده از Maltego قبل از هر گونه تغییرات پیکربندی به فایروال من؛ با این حال، من مسدود شده بودم چون من پورت 135 غیرفعال داشتم که چیزی است که ویندوز برای RPC استفاده می کند. پس از غیر فعال کردن قانون ورودی، من قادر به اتصال بودم. از آنجایی که من از آن برای سرویس توییتر OAuth استفاده کردم، نباید تنها به اطمینان از قانون OUTBOUND متصل نشدن پورت 135 مخالف ورودی برای RPC بود؟

بر اساس مستندات توییتر که از OAuth برای دسترسی مجاز به آن API استفاده می کند

https://developer.twitter.com/en/docs/basics/authentication/overview/oauth

] من مطمئن نیستم که چرا RPC مسدود شده است، زیرا تنها از دانش من به عنوان یک اتصال خارج از آن استفاده می کنم و از آن برای استفاده از سرویس توییتر OAuth از طریق maltego استفاده می کنم.

نوشته‌شده در

jwt – برنامه ی وب یک درخواست برای یک API REST زمانی که در حال تأیید صحت است

من تازه به ASP.NET هسته و OpenID اتصال / AzureAD، بنابراین من به دنبال برخی از اعتبار سنجی (و یا در غیر اینصورت) از رویکرد من است. خواندن / گوگلینگ گسترده در طول چند هفته گذشته در حالی که من در حال یادگیری این است که پاسخ دقیق نگرفته است (اگر چه بسیاری از تقریبا نادرست است)

من یک برنامه وب مبتنی بر مرورگر است که باید با آن امن AzureAD، به طوری که انتظار می رود، از این استفاده می کند. همه کارها خوب است.

همچنین یک API را در همان نرم افزار قرار می دهم. من نمیخواهم به علت نگرانی CSRF از کوکی استفاده کنم و نیاز به API برای سرویس دهی یک برنامه تلفن همراه در تاریخ بعدی است. من API را برای استفاده از JWT Bearer مبتنی بر auth پیکربندی کردم. همچنین به خوبی کار میکند (به عنوان مثال از پستمن درخواست میکند)

یکی از صفحات در برنامه وب نیاز به برقراری تماس AJAX به API دارد، و من نمیخواهم / باید برنامه را به یک SPA تبدیل کنم. بنابراین رویکردی که در حال حاضر در حال تلاش هستم این است:

وقتی وارد برنامه میشوم، حافظه (از طرف سرور) را از AzureAD دریافت میکنم. وقتی صفحه با تماس AJAX بازدید می شود، من "id_token" را به یک فیلد پنهان می نویسم و ​​هنگامی که نیاز به برقراری تماس AJAX دارم، خواندن id_token در جاوا اسکریپت و اضافه کردن آن به عنوان "مجوز" هدر.

این همه به عنوان یک رویا کار می کند، بنابراین من آن را نگران کرده ام و آن را نگران کرده ام. من نمی توانم مسائل CSRF را ببینم، چون تماس AJAX دیگر کوکی نیست. اگر چه من یک id_token را به صفحه می نویسم، کاربر باید کوکی ها را برای دیدن این صفحه در اولویت قرار دهد.

آیا چیزی است که من از آن چشم پوشی می کنم؟