نوشته‌شده در

چگونه می توان از اثر انگشت مرورگر جلوگیری کرد که باعث می شود مجوز طبیعی باقی بماند؟

من از یک زوج مجازی استفاده می کنم که دارای پروکسی هستند و متوجه می شوم که اثر انگشت مرورگر در سراسر مجله VM باعث مشکلات زیادی می شود. من همچنین با مرورگر ایجاد شده در داخل ماشین نشت می کنم که از VM استفاده می کنم. ممکن است به نظر یک سوال n00b باشد ، اما آیا کسی می تواند بهترین راه حل را برای استفاده از چندین مرورگر دستگاه VM بدون 1 – به وب سایت اجازه می دهد شناسایی کند که من از یک ماشین مجازی استفاده می کنم / مانند یک کاربر طبیعی و 2 به نظر می رسد – از ارتباط بین 2 یا چند مرورگر مجزا مجازی ، به عنوان مثال از طریق انگشت نگاری مرورگر یا روش های دیگر؟

* عذرخواهی برای نوشتن سریع روی تلفن

نوشته‌شده در

شما به زودی کنترل Granular از مجوز فرمت Chrome را خواهید داشت

پسوند کروم در طول چند سال به دلیل خطرات امنیتی تحت بررسی شدید قرار گرفته است، اما گوگل به دنبال آن است که با کنترل مجوز گرانشی تغییر کند. این یک گام بزرگ برای پیشرفت امنیت است.

اساسا این یک کنترل مشابه مجوزهای اندرویدی است، فقط برای افزونه مرورگر Chrome. بزرگترین مشکل با پسوند ها، حداقل از یک دیدگاه امنیتی، توانایی آنها به طور جهانی برای خواندن، نوشتن و تغییر داده ها در وب سایت ها است. با استفاده از این ویژگی پیش رو، شما قادر به کنترل زمان و چگونگی گسترش اطلاعات می توانید به خواندن و نوشتن می پردازید.

شما می توانید مشخص کنید که یک افزونه می تواند اطلاعات را در یک وبسایت خاص بخواند یا تغییر دهد با چه چیزی به نظر می رسد سه گزینه های اولیه: هنگامی که شما بر روی پسوند کلیک کنید، در وبسایت خاص یا در تمام وبسایتها. در حالی که این اجازه می دهد که برنامه افزودنی به همان شیوه عمل می کند که سیستم در حال کار است، دو اول از این پسوند خارج از خط مشی تعیین شده شما را غیرفعال می کنند، در غیر اینصورت دسترسی اسکایپ از دسترسی به پسوند در پارامترهای تنظیم شده را غیر فعال می کند.

یک گام بیشتر، گوگل نیز تمرکز بیشتری بر روی بررسی افزونه هایی که درخواست "مجوز های قدرتمند" و استفاده از کد از راه دور را میزبانی می کنند قرار داده است. به طور خلاصه، کنترل افزونه ها – هم در جلوی کاربر و هم برای گوگل – بسیار سریعتر می شود.

برخی از تغییرات در پایان توسعه نیز وجود دارد – فروشگاه وب Chrome دیگر اجازه نخواهد داد پسوندهای با پوشه کد، توسعه دهندگان مجبور خواهند شد تا 2FA را در حسابهای خود در سال 2019 فعال کنند و بیشتر. برای جزئیات بیشتر بر روی آن، میتوانید نگاهی به وبلاگ توسعه دهنده Chromium بیاندازید.

گوشت واقعی و سیب زمینی در اینجا کنترل گرانشی روی جلوی مصرف کننده است. این در دسترس خواهد بود در شروع Chrome 70، که در حال حاضر در دسترس است هر چند بتا کانال. این ویژگی هنوز فعال نشده است، اما گوگل به احتمال زیاد این سوئیچ را در یک بروزرسانی جدید تلنگر می کند.

نوشته‌شده در

jwt – چگونه مجوز پس از احراز هویت با استفاده از شناسه open شناسایی می شود

فرض کنید که یک مشتری یک شناسه شناسایی می کند و از یک سرور Auth به عنوان یک نتیجه از تأیید صحت موفق استفاده می کند. مشتری اکنون درخواستی را به سرور برنامه می فرستد. (درخواست شامل برچسب دسترسی و شناسه) است. به نظر من، سرور برنامه در حال حاضر برای تماس با سرور auth برای تأیید این نشانه ها. اگر پرونده ها معتبر باشند، سرور برنامه با درخواست ادامه می یابد. در غیر این صورت، درخواست را رد می کند. آیا این درست است؟

مسئله اصلی من با این تنظیم نیاز به تماس با سرور auth برای هر درخواست است. آیا روش استاندارد برای جلوگیری از این وجود دارد؟ نحوه استفاده از یک کلید مخفی (شناخته شده به هر دو سرور Auth و سرور برنامه) برای تأیید امضا – شبیه به JWT. در این مورد تفاوت بین openID اتصال + OAuth2 و JWT چیست؟

نوشته‌شده در

مجوز گواهینامه – حذف CA های غیر قابل اعتماد از فایرفاکس

برو به about: preferences # privacy ، به پایین زیر «گواهینامهها» بروید، روی «مشاهده گواهینامهها» کلیک کنید، سپس به برگه «مقامات» بروید.

هر یک از مجوزهای گواهینامه را انتخاب کنید می خواهم بی اعتماد باشم، سپس روی دکمه «حذف یا عدم اطمینان» کلیک کنید.

Firefox CA trusted screen

به نظر نمی رسد راهی ساده برای بازگرداندن اعتماد به یک ساخته شده در CA باشد، به طوری که ممکن است بخواهید در مورد بی اعتمادی به CA های ساخته شده توجه بیشتری داشته باشید – به ویژه، همه CA شناخته شده نامهای صادر کننده را به خوبی شناخته اند: به عنوان مثال، "بگذار رمزگذاری" توسط "گروه تحقیقات امنیت اینترنت" صادر شود، بنابراین بی اعتمادی به " ISRG Root X1 "گواهی بی اعتمادی به" رمزگذاری را "بی اعتبار می کند (خوب، آنها متقاضی می شوند، بنابراین کار را ادامه خواهند داد مگر اینکه شما نیز IdenTrust را مورد اعتماد قرار دهید، که همچنان مشابه آن مربوط نیست …)

نوشته‌شده در

تشدید امتیاز – آیا راهی برای بازنویسی یک پرونده استفاده شده توسط یک سرویس بدون مجوز مدیریت خدمات وجود دارد؟

من سعی می کنم سوءاستفاده کنم و در اینجا سناریوی است:

یک سرویس با امتیازات سیستم اجرا می شود که در آن اجرایی که در حال اجرا است (binpath) می تواند توسط هر کاربر تغییر یابد. سوءاستفاده از جایگزینی دوتایی هدف با یک مخرب است، به طوری که در هنگام راه اندازی دستگاه، اجرایی مخرب با استفاده از امتیازات سیستم به جای آن از اول شروع می شود. با این وجود، مشکل اینجاست که باینری سرویس نمیتواند جایگزین شود چون این سرویس در حال اجرا در حال اجرا است. به طور معمول، تنها مدیران می توانند خدمات را متوقف کنند تا سرویس را متوقف کنند قبل از اینکه دو باینری را تغییر دهند، نوع نسخه ی نمایشی را متوقف می کنند.

سوال من این است:

آیا راهی برای جایگزینی باینری (که من مجوز کامل آن) ندارم بدون مجوز برای متوقف کردن سرویس وجود دارد؟