نوشته‌شده در

xss – برنامه تک صفحه و Token CSRF هر بار تولید می شود

من باید از یک صفحه یک صفحه استفاده کنم (React، Ember، Angular، I do not care) با مکانیزم محافظت از Rails CSRF

من تعجب می کنم که آیا من نیاز به ایجاد زمان eome برچسب در ApplicationController مانند این: 

 کلاس ApplicationController <ActionController :: Base

  بعد از عمل: set_csrf_cookie

  def set_csrf_cookie
    کوکی ها ["X-CSRF-Token"] = form_authenticity_token
  پایان

پایان

یا من فقط می توانم یک نشانه یک بار ایجاد کنم .

در هر جلسه یا هر (غیر GET) درخواست؟

فکر می کنم تاکتیک هنوز معتبر است تا جلسه معتبر باشد، درست است

CLARIFY :

برنامه های پیش فرض Rails (صفحات ارائه شده توسط سرور) به روز رسانی csrf-token هر زمانی که من به یک صفحه مراجعه می کنم. بنابراین هر زمانی که تغییر می کند

بنابراین در وضعیت من اگر یک علامت جدید برای هر after_action ایجاد کنم، CSRF-Token قبلی هنوز برای این جلسه مناسب است. بنابراین، چگونگی جعل قبلی را نامعتبر کنید؟ من باید

از آنجا که تنها اگر من نامعتبر آن را حس می کند، درست است

نوشته‌شده در

احراز هویت – خطرات امنیتی مربوط به تولید یک رشته امنیتی به عنوان یک رشته، به جای یک تصویر چیست؟

در کار ما با استفاده از یک سیستم تأیید اعتبار به نام Swivel Secure بدون پیاده سازی به طور خاص هنگام اتصال به دستگاه های مشتریان ما مانند روترها، سوئیچ ها، فایروال ها و غیره باید یک OTC (برای 2FA البته)

اتصال به یک سوئیچ باید ارائه دهد: نام کاربری، گذرواژه و OTC به منظور دریافت OTC ما باید یک پیوند را ایجاد کنیم که تصویر را تولید می کند (نگاه کنید به مثال زیر)

یک پیوند معمولا به شیوه زیر نمایش داده می شود – https: // PinSecurity .StackExchange.com: 8443 // proxy / SCImage؟ username = JoshJones

Image String Image

اگر شما با یک تصویر تورینگ آشنا هستید، اساسا هر کاربر یک پین (که می تواند باشد تغییرات) عدد های بالا مربوط به اعداد است که می تواند در پین کاربران استفاده شود و اعداد پایین اعداد مورد نیاز برای احراز هویت موفق هستند.

به عنوان مثال: اگر پین من 1234 با استفاده از تصویر بالای OTC من برای تأیید صحت موفق 3087 باشد.

در Swivel یک گزینه وجود دارد که به شما اجازه می دهد که آن SCImage را فقط یک رشته با استفاده از SCIMage با SCText ، من از یک توسعه دهنده در Swivel در مورد این سوال خواسته بودم و او گفت: "به طور پیش فرض غیر فعال شده است زیرا به طور ذاتی ناامن است." من این بیانیه را بسیار مبهم یافتم و متاسفانه او هرگز به درخواست خود برای گسترش پاسخ نمی دهد.

دقیقا همان چیزی است که ناامن برای ایجاد رشته امنیتی به عنوان متن؟ من متوجه شدم که در کامپایلر آن به راحتی قابل خواندن است، شما می توانید فقط HTML را برای گرفتن رشته امنیتی از بین ببرید در حالی که با تصویر شما باید از نوعی نرم افزار / کتابخانه OCR برای به دست آوردن شخصیت های تصویر استفاده کنید که می تواند بسیار سخت باشد به خصوص اگر تصویر بسیار سقوط کرده است.

بنابراین چگونه آن را امن تر برای تولید این رشته امنیتی به عنوان متن؟ حتی این که شما می توانید تمام ترکیبات را تکرار کنید، زیرا مکانیسم قفل کردن روی بازخوانی های زیادی وجود دارد، بنابراین شما نمی توانید کسی را بدون ذهنتان حدس بزنید، و غیره.

اگر کسی بتواند این را برای من روشن کند که عالی باشد. انتظار دارم که چیزی از دست رفته و فقط به درستی فکر نکنم

نوشته‌شده در

Cloudflare با استفاده از کدام یک از این آیتم ها برای تولید داده های رمزنگاری تصادفی؟

پاسخ: لامپ های لوا

Cloudflare، شرکت مبتنی بر ایالات متحده که متخصص در شبکه های تحویل محتوا، کاهش رفع توزیع سرویس، خدمات امنیت اینترنت و سایر خدمات مرتبط با اینترنت است، بسیار علاقه مند به ارائه امنیت سطح بالا برای مشتریانی که با آنها کار می کنند و زیرساخت های خود را دارند.

بخشی از این امنیت به استفاده از داده های تصادفی برای تولید کلید های رمزنگاری ایمن متکی است. همانطور که هر دانشمند کامپیوتر می تواند به شما بگوید، رایانه های خودشان در تولید عدد تصادفی واقعا بزرگ نیستند، اما جهان اطراف ما در آن بسیار عالی است. Cloudflare این واقعیت را در یک روش نسبتا هوشمندانه و چشمگیر به کار برده است. در لابی دفتر دفتر سان فرانسیسکو، دیوار غول پیکری از لامپ های گدازه وجود دارد. چراغ ها فقط برای یک زیبایی شناسی دره Silicon Valley وجود ندارد (هرچند که مطمئنا این کار را انجام می دهند).

چراغ ها برای ارائه یک منبع عظیم و دائما در حال تغییر داده های واقعی تصادفی جهان وجود دارد. تمام روزها، هر روز، دوربین های امنیتی که در لامپ های گدازه آموزش دیده اند، از موقعیت های مداوم تغییر صدها پشته از گدازه موم مذاب استفاده می کنند تا مجموعه داده های تصادفی تولید کنند. کل فرایند بسیار جذاب است و اگر شما لذت بردن از استراحت برای خواندن در مورد ins و outs از آن، شما می توانید در مورد جزئیات "LavaRand" خود را در اینجا به عنوان خوانده شده.

حسن نیت ارائه میدهد از Cloudflare.

نوشته‌شده در

TLS – چگونه حمله MiTM در گواهی خود امضا انجام شد در حالی که کلید خصوصی توسط ما تولید شده است؟

TL؛ DR: استفاده از گواهی های خود گواهی به این معنا نیست که MITM امکان پذیر است و استفاده از یک گواهی صادر شده توسط یک CA عمومی به این معنا نیست که MITM غیرممکن است. اما احتمال دارد که MITM ممکن است در صورت استفاده از گواهی های خودمختار مورد استفاده قرار گیرد زیرا مشتریانی که با گواهینامه های خود دارای گواهینامه برخورد می کنند اغلب با این روش اشتباه با آنها برخورد می کنند.

با استفاده از یک گواهی خودکارتانه MITM به طور کلی اجازه نمی دهد و استفاده از گواهی صادر شده توسط یک CA عمومی در برابر MITM به طور کلی محافظت نمی کند. به غیر از حفظ خصوصی خصوصی خصوصی، حفاظت مهم در برابر حملات MITM، نوعی گواهی در سرور نیست بلکه نحوه بررسی این گواهینامه در سرویس گیرنده، یعنی اگر سرور به درستی با استفاده از یک گواهی تأیید شود یا خیر.

روش ثابت برای تأیید هویت یک سرور با استفاده از یک گواهینامه امضا شده توسط یک CA عمومی، بررسی موضوع گواهینامه، زنجیره اعتماد، انقضا و غیره است. – چارت گواهینامه SSL 101: چگونه مرورگر در واقع اعتبار یک گواهی سرور مشخص را تأیید می کند؟ برای جزئیات بیشتر اما اگر یک مشتری این چک را انجام نمی دهد و یا این چک ها را درست انجام نمی دهد، ممکن است حمله کننده در مسیر گواهی خود را ارائه دهد و مشتری متوجه آن نخواهد شد. در گذشته چنین خطاهایی ناشی از جهل یا به علت اشکالات رخ داده است، مثلا گواهینامه ها را بررسی نکنید، اعتبار موضوع را بررسی نکنید، محدودیت های اساسی را بررسی کنید و غیره.

با گواهینامه خود امضاء شده، تأیید صحت سرور مجاز است همچنین: اگر مشتری می داند که گواهی انتظار دارد (یا کلید عمومی آن، یا یک هش از آن …) تا جلو، مشتری می تواند بررسی کند که گواهی تحویل داده شده مطابق با انتظار است. این نوع تأیید در واقع در موارد بسیاری استفاده می شود. اما در بسیاری از موارد دیگر این اشتباه انجام می شود: غیر معمول نیست که مشتریان به سادگی تمام گواهینامه های گواهینامه را به طور کامل از کار انداخته اند، در صورتی که گواهی خود گواهی خود را انتظار داشته باشند تا انتظار یک گواهی خاص خود را امضا کنند. با چنین مشتریانی که شکسته اند، MITM آسان است، زیرا مهاجم فقط می تواند از یک گواهی دلخواه استفاده کند و مشتری آن را قبول می کند.

نوشته‌شده در

کدام یک از شرکت های بازی تولید، اما هرگز انتشار، هدست VR در دهه 1990؟

پاسخ: Sega

در اوایل دهه 1990، Sega با استفاده از یک موج موفقیت از کنسول بازی Sega Genesis، در سال 1991 اعلام کرد که آنها در یک هدست بازی واقعیت مجازی برای کنسول های خانگی کار می کنند. با توجه به اینکه ما در حال حاضر در قرن بیست و یکم قرار داریم (و VR فقط شروع به عقب نشینی بسیار کمی در بازار بازی ها می شود)، می توان گفت که توجه شدید Sega به واقعیت مجازی ممکن است کمی زودرس بوده باشد.

این شرکت با برنامه های پیش رو پیش رفت، تا جایی که تبلیغ محصول را پیش از انتشار عرضه کند و حتی در نمایشگاه الکترونیک Consumer Electronics در اوایل سال 1993 نمایشی را نشان دهد. این دستگاه، به سادگی به نام Sega VR، برای انتشار در برنامه ریزی شده بود سقوط سال 1993، سپس در اوائل سال 1994 برای انتشار منتشر شد. اما به طور ناگهانی، به رغم شورش های عظیم، سگا در مورد این پروژه سکوت کرد و هیچگاه به عموم مردم منتشر نشد.

بنابراین کجا رفت و چرا ما دهه 1990 را صرف پوشیدن کتک زدن شیرین روبو مانند؟ Sega ادعا کرد پروژه متوقف شد، زیرا این محصول خیلی خوب بود، در حالی که اطراف پوشیدن هدست، کاربران به طور عادت خود را زخمی می کردند. با توجه به سطح تکنولوژی در آن زمان، این کمی ادعا مسخره است و واقعیت کمی کمتر دروغین بود. آزمایشکنندگان بازی تهوع و سردرد را گزارش دادند و محققانی که در این شرکت کار میکردند برای بررسی ایمنی دستگاه هشدار دادند که از مصرف طولانی مدت استفاده کنند. این ادعاهای احتمالا دور از ذهن نیستند زیرا هدست Virtual Boy VR سال 1995 نینتندو برای تهیه تهوع، سرگیجه و سردردهای دقیق همانند تستهای گزارش شده با Sega VR مشهور است.

اگر چه ممکن است قمار گرانقیمت باشد و حتی به کاهش شرکت، به احتمال زیاد، یک حرکت هوشمندانه برای جلوگیری از اتصال به یک پروژه برای نقص در هر حال بود. بعد از همه، نینتندو با پسر مجازی پیش رفت، در بازار ضرب و شتم کرد و در نهایت تنها 770،000 واحد در سراسر جهان فروخت.

حسن نیت ارائه میدهد از سگا