ذخیره سازی داده های مشتری ایمن (انطباق)
من یک نقص داده ای را در بر داشتم که در آن توسعه دهندگان یک سازمان برخی از اطلاعات مشتری PII را در حساب github خود ذخیره کردند. حس مشترک به من می گوید که این چیزی است که به وضوح احمقانه و بی دقت است.
سوال من این است که آیا استانداردهای امنیتی وجود دارد که به طور خاص تنظیم می کند که چگونه و چگونه سازمان باید داده های مشتری ذخیره شده را ذخیره کند؟ من NIST 800-53 را بررسی کرده ام و کمی زحمت کشیدم ولی هیچ راهنمایی روشن نداشتم. مانند مثال اگر سرور پایگاه داده باید در محیط شبکه داخلی کنترل شده پشت فایروال باشد، داده ها رمزگذاری شده و غیره
در مثال نقض اطلاعات، داده ها به سرور عمومی github با تنها یک رمز عبور محافظت از داده ها گذاشته شد و احتمالا این حساب احتمالا به اشتراک گذاشته شد.
هر گونه مراجعه به استانداردهای خاص (و پاراگرافها) بیشتر مفید خواهد بود.
VPN نصب
جاوا اسکریپت – چطور می توان یک کلید API را از طرف مشتری ایجاد کرد؟
من یک مسئله دارم و خیلی مطمئن هستم که من در مورد آن نیستم.
من امیدوارم که چند راه عالی داشته باشم، امیدوارم ضد گلوله، برای جلوگیری از هر گونه مسائل، پس در اینجا این است.
من یک API ارائه می دهم که از طریق درخواست POST HTML را به PDF تبدیل می کند. هنگامی که مشتری من تبدیل می کند، آنها یک کلید API برای تأیید اعتبار آنها فراهم می کنند. تا کنون خیلی خوب است.
من فکر میکنم راهی برای اجازه دادن به این مشتریان برای انجام تبدیل به طور مستقیم از داخل مرورگر سرویس گیرنده خود، در جاوااسکریپت است.
حالا این امکان وجود دارد با انجام جاوااسکریپت XHR POST درخواست از جمله کلید API، اما مسئله امنیتی بزرگ در اینجا این است که کلید API آنها در معرض عموم است و بنابراین می تواند مورد سوء استفاده قرار گیرد.
سوال من ساده است:
چگونه می توانم امکان ارائه اسناد را مستقیما در داخل مرورگر بدون آسیب رساندن به حساب خود از طریق کلید API؟
بهترین ایده من تا کنون این است که اجازه دهم مشتریم چندین کلید API را ایجاد کند و آمار مربوط به تعداد چند تبدیل از آن کلید داشته باشد. علاوه بر این، آنها می توانند نشان دهند که کدام دامنه برای این کلید کار می کند، محدود کردن استفاده به یک دامنه خاص (مجموعه ای از) دامنه ها.
اما من می دانم که این یک گلوله نیست زیرا هر کدوم می تواند ارزش میزبان را در درخواست و دور زدن این "امنیت"
چگونه می توانم امنیت را در حین ارائه قابلیت ظاهری افزایش دهم؟
با تشکر از کمک شما
اثر انگشت – Cloudflare چگونه مشتری خود را دنبال کنید؟ تور یک راه حل نیست
من یک سایت تجارت الکترونیک با استفاده از wget بازتاب دادم. این سایت به نظر می رسد از Cloudflare برای مدیریت ترافیک وب خود استفاده کند.
جالب است این است که پس از 90٪ یا بیشتر از انجام معکوس انجام شد، wget شروع به تولید / دریافت پیام های خطا فراوان کرد. سپس سعی کردم سایت را در یک مرورگر به طور منظم باز کنم اما با یک خطای 403 و یک پیام از Cloudflare خوش آمد گفتم "درخواست مسدود شده است". خوب، به اندازه کافی عادلانه، آنها احتمالا نمی خواهند مردم برای دانلود 1.5 میلیون صفحه از آنها (که در آن زمان من انجام شده بود)
با این حال
- هنگامی که من استفاده از مرورگر Tor بر روی همان دستگاه من wget در هنگام دسترسی به همان سایت با استفاده از کامپیوتر دوم من (هر دو ماشین ها به یک فای متصل هستند) در هر دو مرورگر به طور منظم و مرورگر Tor کار می کنند، به خوبی کار می کنند.
Cloudflare به نحوی موفق به اثر انگشت دستگاه من اجرا wget در راه است که باعث می شود آنها را قادر به شناسایی دستگاه من از طریق Tor؟
چقدر اطلاعاتی که wget نشان می دهد هنگامی که آن را به یک سرور وب متصل می شود؟
این سخت افزار یک Macbook Pro 15 بسیار رایج است، بنابراین هیچ چیز فوق العاده ای وجود ندارد.
مرورگر Tor با استفاده از تنظیمات پیش فرض آن اجرا می شود.
