نوشته‌شده در

برنامه وب – چرا درخواست های POST متقابل دامنه اجازه داده می شود؟

من درک می کنم که بهترین روش استفاده از نشانه ها برای جلوگیری از CSRF است، اما چرا مرورگرها به جای درخواست POST متقابل سایت اجازه می دهند؟ به نظر می رسد که دادن احزاب غیر قابل اعتماد امکان دسترسی نوشتاری به سرور شما یک ایده بد است.

سایت W3 می گوید: "تحت یک سیاست مبدا، ارسال اطلاعات متقابل سایت نیز خطرناک است زیرا حملات مانند متقابل، جعل تقلب در سایت (CSRF) و clickjacking. خط مشی همان مبدا نمی تواند این آسیب پذیری های امنیتی را به همان شیوه ای که در اطراف دریافت اطالعات قرار دارد، رد کند چرا که ممنوعیت ارسال متقابل سایت از طریق لینک های متقابل سایت ممنوع است. " [1]

اما این به نظر می رسد مثل دوگانگی دروغین است. ما می توانیم POST های متقارن را مجاز کنیم در حالی که هنوز هم اجازه می دهیم لینک هایی که GET دریافت می کنند.

[1] https://www.w3.org/Security/wiki/Same_Origin_Policy

نوشته‌شده در

dns – مدیریت زیر دامنه چندگانه و اضافه کردن زیر دامنه، در همان دامنه برای SAAS، از GoDaddy؟

من برنامه دارم و کار بر روی پلت فرم SAAS است.
تنها موضوع با نگه داشتن چندین زیر دامنه.
دامنه ثبت نام از Godaddy

اگر هر کسی دسترسی به زیر دامنه ثبت نام، آن را به طور خودکار برای ایجاد زیر دامنه هدایت می کند.

من می خواهم آن را از هر کسی جلوگیری کنم، تنها کاربر ثبت نام میتواند به آن دسترسی پیدا کند. کاربر غیر مجاز نمیتواند به عنوان یک کاربر دسترسی پیدا کند و ثبت نام کند و زیر دامنه را ایجاد کند.

مثال: 

  Sub Domain Domain (دامنه ثبت نشده)
 http://xyz.com http://abc.xyz.com
                          (اگر کسی به زیر دامنه دسترسی پیدا کند،
                        آن را ایجاد زیر دامنه، من می خواهم از آن جلوگیری می کند.)

برای پاسخ ارزشمند خود به شما سلام می کند

نوشته‌شده در

TLS – دامنه دات کام تا حدودی پیچیده در HTTP محلی شبکه مشکل است

من سعی کردم تا تنظیمات من را به حداکثر ممکن برسانم، بنابراین فقط به سایت dev من بیش از https خدمت می کنم. راه اندازی مثل این است …

  1. من یک CA اعتماد در ماشین من ساخته شده توسط devcert

  2. من تولید برخی از certs و نصب آنها را در یک کانتینر docker و آنها را در سایت من خدمت می کنند، من یک .dev دامنه به میزبان / etc / hosts در هر دو ظرف، دستگاه محلی من و دستگاه همراه من همه آنها را به محل مناسب هدایت شده زمانی که من مرورگر خود را به دامنه .dev نشان می دهد

مشکلات:

  1. اندیشه من دستگاه تلفن همراه به گواهی اعتماد ندارد من نمی توانم به نظر برسیم از هک chome thisisunsafe استفاده کنم چون نمی توانم یک صفحه کلید در صفحه هشدار دهنده در تلفن همراه دریافت کنم …

سعی کردم اضافه کردن CA به عنوان یک گواهی اعتماد در تلفن من از طریق تنظیمات> secutiry> نصب از کارت SD اما کروم همچنان ناکام است

  1. فایرفاکس (در دستگاه میزبان محلی من) این گواهی را قبول نمی کند و با SEC_ERROR_BAD_SIGNATURE کار می کند حتی اگر کروم کار کند

من به شدت نیاز به انجام برخی از اشکال زدائی تلفن همراه دارم، بنابراین من باید این را در یک شرایط کاری ASAP، ایده هایی که در آن اشتباه می کنم؟

نوشته‌شده در

بدافزار – درباره مسدود کردن دامنه های مضر .bit

آیا برای هر ابزار امنیتی شبکه / بهترین عملکرد وجود دارد که می تواند ارتباطات C2 موجود با دامنه های بیتی را شناسایی و مسدود کند؟ یعنی URL های تماس سیاه و سفید به .bit؟

از طریق این مقاله، متوجه شدم که مجرمان شروع به پیکربندی نرم افزارهای مخرب خود برای پرس و جو کردن سرورهای نام دامنه سازگار با نام دامنه Namecoin خود به منظور دستیابی به دامنه های .bit خود. یا آنها پلاگین نرم افزارهای مخرب را برای پرس و جو از سرورهای سازگار با Namecoin که از طریق سرویس های زیرزمینی در دسترس هستند جستجو می کنند. فرض می کنم که چنین تکنیک هایی می توانند از ابزارهای امنیتی مشترک استفاده کنند، که معمولا URL های معمولی را با TLP ها که به راحتی قابل دسترسی هستند شناسایی می کند.

https://www.darkreading.com/vulnerabilities—threats/threat-actors-turn-to-blockchain-infrastructure-to-host-and-hide-malicious-activity/d/d-id/1331622 ؟

نوشته‌شده در

کتابهای الکترونیکی استاندارد ارائه می دهد دریافت دامنه عمومی که زشت نیستند

چند سایت وجود دارد که هزاران کتاب الکترونیکی رایگان را ارائه می دهند، اما قالب بندی و تایپوگرافی اغلب خیلی بد است. استاندارد کتابها استثنا است.

این سایت جزئیات دقیق را دریافت می کند. هر کتاب همچنین یک پوشش زیبا با استفاده از آثار هنری عمومی دارد. کتاب ها توسط یک انسان واقعی اصلاح می شوند، به این معنی که ادله ای عجیب و غریب ناشی از فرآیند اسکن وجود ندارد. همه چیز دارای ابرداده کامل است. و برای کیندل و کوبو، بارگیری خاصی برای پلتفرم وجود دارد، به این معنی که تمام ویژگی های این سیستم عامل ها به درستی پشتیبانی می شوند.

هر کتابخانه عمومی ای که می توانید تصور کنید، ارائه نمی شود، اما تعداد شگفت انگیزی است و به لطف یک تیم داوطلبان پیشنهاد من: اگر می خواهید کتاب الکترونیکی استاندارد کتاب الکترونیکی را بخوانید، ابتدا آن را به Project Gutenburg بروید، اگر نسخه استاندارد را پیدا نکنید.

کتاب الکترونیکی استاندارد


Justin Pot یک کارمند است نویسنده برای How-To Geek و علاقه مندان به فن آوری است که در Hillsboro، اورگان زندگی می کند. اگر می خواهید، در توییتر و فیس بوک دنبال کنید. شما مجبور نیستید.