آیا در این تنظیم نیاز به حفاظت از CSRF با یک API REST با پشتیبانی oauth2 و یک سرور معتبر SSO Auth SSO دارم؟

من دیدم پاسخ آیا CSRF امکان پذیر است اگر من حتی از کوکی ها استفاده نمی کنم؟ اما 2 پاسخ متقابل وجود دارد و خود سوال این اطلاعات را نیز ارائه نمی دهد.

من یک API REST ایجاد می کنم که توسط یک سرویس دهنده وب (از ایجاد خود ما) در حال اجرا در دامنه دیگری استفاده می شود، بنابراین ما درخواست CORS را انجام دهید این API به عنوان یک سرور منبع oauth2 اجرا می شود، بنابراین دسترسی توسط توالی هایی که در هدر احراز هویت منتقل می شوند محدود شده است. ما هیچ کوکی وجود ندارد، همه چیز بی ثمر است. من از مقاله در https://spring.io/blog/2011/11/30/cross-site-request-forgery-and-oauth2

  • دنبال میکنم. ما از SSL استفاده خواهیم کرد
  • ثبت نام تغییر مسیر uri
  • تنها نوع اعطاء ما، کد مجوز است، بدون نیاز به یک مخفی مشتری (به عنوان منبع مشتری وب عمومی) به جای نوع کمک ضمنی، به عنوان در مورد توصیه های در https://oauth.net/2/ grant-types / implicit /
  • مشتری با یک سرصفحه تایید می کند زمانی که سرور سرور واقعی آن را فراخوانی می کند
  • دریافت پروانه دسترسی توسط گذراندن کد مجوز 1 بار در پارامترهای فرم صورت می گیرد ( x-www- Form-urlencoded )، که به نظر می رسد راه طبیعی است، نباید در تاریخ مرورگر به عنوان پارامتر query باشد.
  • مشتری همچنین از برخی از پارامترهای حالت مخفی هنگام استفاده از کد مجوز استفاده می کند. در این مورد من مطمئن نیستم که یک نقطه وجود دارد زیرا مشتری به یک رمز محرمانه برای دسترسی به یک نشانه دسترسی دسترسی پیدا نمی کند.
  • برای نقطه پایانی oauth / token که در واقع شما یک token دسترسی دریافت می کنید، تنها مجاز هسته دامنه مشتری وب ما است
  • برای نقطه پایانی oauth / authorize CORS مجاز نیست. شاید این بیش از حد باشد زیرا تغییر مسیر یوری فقط به حوزه ی خود ما اشاره می کند؟

من فکر می کنم که تقریبا همه چیز را در آن قسمت پوشش می دهد.

اکنون یک بردار حمله دیگر وجود دارد که در قالب سرور تأیید هویت oauth2 وجود دارد خود، که قرار است SSO باشد و جلسات داشته باشد و با مجوز اولیه در دسترس است. با این حال، به نظر نمی رسد هیچ اقدامی را که می توانید با یک حمله csrf انجام دهید که در واقع مفید خواهد بود. شما می توانید درخواست خود را به این نقطه های oauth انجام دهید، اما شما باید قادر به خواندن نتیجه، که توسط پیکربندی CORS جلوگیری می کند و این واقعیت است که تغییر مسیر uri از قبل ثبت شده است. هیچ POST شما وجود ندارد که بتوانید رمز عبور خود را عوض کنید، آدرس ایمیل خود را بازنشانی کنید، و غیره، همه چیز در واقع به عنوان یک سرور منبع نیز در معرض قرار دارد.

آیا چیزی از دست رفته؟ چگونه می توان در مورد جستجوی آسیب پذیری ها در اینجا جستجو کرد؟

x.509 – هنگامی که یک گواهینامه معتبر تایید شده است، آیا می توان آن را در رشته های رشته در زمینه صادر کننده امن کرد؟

اولا، برخی از پیش زمینه ها برای این سوال:

من VPN VPN در Pulse Connect Secure VPN در یک محیط چند مستاجر استفاده کرده ام و با تأیید هویت گواهی (با استفاده از کارت های هوشمند به طور خاص، اعتقاد بر این است که جزئیات مربوط به این سوال است). هر مشتری دارای مجوز گواهینامه خود است که صدور گواهینامه مشتری را به کاربران نهایی صادر می کند.

متاسفانه، در مورد VPN VPN امن Pulse Connect، فقط می توان کابل اعتماد کننده را برای کل دستگاه کلیدی پیکربندی کرد. این امکان وجود ندارد که آن را در سطح سرور تأیید یا در حوزه تعریف کنید.

این خوب است اگر شما نیازی به تقسیم اعتماد برای CA ندارید: در مورد مشتریانی که در خدمت شما هستند، اما واقعا از چندین مستاجره پشتیبانی نمی کند.

تهدید خاصی که من در تلاش برای محافظت در برابر آن هستم این است که اگر یک مشتری CA به خطر افتاده باشد، ممکن است مجوز VPN صادر کند با موضوعات مربوط به یک مشتری متفاوت. بنابراین تنها CA خود مشتری ممکن است اعتبار داشته باشد که گواهینامه های مشتری را برای سازمان خود امضا کند، نه برای گواهینامه های مجوز دسترسی به سازمان های دیگر.

بعد از برقراری ارتباط با بخش پشتیبانی Pulse Secure، آنها مرا به محل کار، که در آن من می توانم پیکربندی کنم حقیقت چندین تایید (هر یک از آنها به یک خط مشی ورود به سیستم و یک URL ورودی خاص متصل شده است که خوب است؛ زیرا این روش امروز ما مستاجرین را جداسازی می کنیم)

تأیید بدون اهمیت خواهد بود که گواهی مشتری ارایه شده. هنگامی که به صحنه نقشه گذاری نقش (مجوز) رسید، یک قاعده در بالای صفحه قرار می گیرد، که اساسا رشته ای را در زمینه «صادر کننده» CA می کند.

این قاعده چیزی است که در کنار خطوط این تصویر (این مورد آزمایش نشده است دقیقا همانطور که نوشته شده است، نام ویژگی صادر کننده ممکن است اشتباه باشد):

 https://i.imgur.com/JGNZM2E.png

The قاعده در بالای صفحه قرار می گیرد و اولین قاعده ی هماهنگی خواهد بود. این نام رشته را در گواهینامه رشته ای مطابقت می دهد و اگر با نام صادر کننده مورد انتظار مطابقت نداشته باشد، هیچ نقش تعیین نمی کند و با چک کردن قوانین پردازش توقف زمانی که این قانون با جعبه مطابقت دارد، نقش مرحله نقشه برداری بدون هیچ نقش تعیین شده پایان می یابد و بنابراین تلاش ورود به دلیل عدم نقش تعیین شده از بین خواهد رفت.

استدلال / فرض من:

این است که اعتبار CA: Pulse Connect دستگاه امن برای داشتن نام های تکراری فقط اگر این CA: متعلق به یک سازمان باشد. این بدان معنی است که نام صادر کننده را می توان اعتماد کرد که به یک دامنه اعتماد خاص منحصر به فرد باشد.

همچنین داده شده است که اختصاص دادن صفر به یک کاربر که تصدیق گذارده است، تضمین می کند که آنها هیچ دسترسی به هر سیستم محافظت نمی کنند. 19659003] هر گونه تلاش ورود به سیستم که تا آنجا ادامه دارد که نقشه برداری نقش داشته باشد اعتبار گواهی را گذرانده و بنابراین معتبر است، که به این معنی است که فیلد صادر کننده می تواند اعتبار داده شود تا حاوی اطلاعات معتبر باشد. فرض میکنم که یک گواهی صادر شده توسط یک گواهینامه مجاز معتبر، اما در صورتی که نام صادر کننده چیزی غیر از انتظار باشد، تأیید اعتبار گواهی به begiin با شکست مواجه خواهد شد قبل از آنکه حتی به مرحله نقشه برداری نقش برسد.

بنابراین رشته سازگاری در زمینه صادر کننده در این شرایط باید یک راه امن برای اجرای آن باشد که تنها گواهینامه های صادر شده توسط یک CA مشخص شده دسترسی به آنها داده می شود.

خطرات شناخته شده:

در هنگام ورود، لیستی از CA معتبر به مشتری ارسال می شود اهداف فیلتر کردن نمایه خود از گواهینامه ورود معتبر در فرآیند شناخته شده به عنوان گواهی مذاکره. این می تواند به طور بالقوه یک لیست از مشتریان با استفاده از این دستگاه خاص را نشت کند و همچنین موجب یک مسئله کاربردهی برای کاربران که بخشی از سازمان های متعدد هستند. در مواجهه با عدم راه حل متناوب برای حل این، من متوجه می شوم که این خطر مدیریت است.

محدودیت محدوده:

من می خواهم به دامنه این سوال فقط به امنیت احراز هویت و مجوز، و نه از سوالات گسترده ای از طراحی شبکه در پشت دستگاه VPN

سوال من:

بنابراین، پس از توضیح تمام این پس زمینه، من فکر می کنم سوال من در موضوع خط بیشتر معنایی:

هنگامی که یک گواهی اعتبار داده شده است، آیا می توان آن را در رشته مطابقت در زمینه صادر کننده؟

(و یا آن را در حال رفتن به من در الاغ به نحوی که من در نظر گرفته نشده است.)

چگونه می توان یک گواهینامه سرور معتبر زمانی که یک نام میزبان / صادر شده به mistmatch وجود دارد؟

من تعجب کردم – من از دیدن یک گواهینامه خاص سایت شگفت زده شدم و می بینم که نام میزبان برابر با پارامتر صادر شده نیست – گواهی معتبر است.

مثال اینجا است: https: // www. cyberark.com

 انواع صادر شده به

چگونه ممکن است؟ ssl762713.cloudflaressl.com قطعا Cyberark.com نیست

کمتر 3.5 درصد از EOS نشانه رای به اعلام Mainnet معتبر

کمتر 3.5 درصد از EOS نشانه رای به اعلام Mainnet معتبر

EOS Blockchain و تیم پشت آن مانع دیگری را پرويز Ethereum به عنوان blockchain انتخاب برای هر کسی را که Dapps یا قراردادهای هوشمند روبرو هستند.

به عنوان بازآموزی EOS minable است. “تولید کننده بلوک” تعداد مورد نیاز از بلوک های دو فیلم تولید و ایجاد نشانه های جدید EOS برای هر بلوک جدید تولید آنها پاداش.

تولید کننده بلوک توانایی انتشار مقدار مورد نظر برای پرداخت مورد انتظار خود را، و تعداد نشانه EOS است که ایجاد می کنید بر اساس ارزش متوسط مقدار مورد نظر پرداخت، توسط تولید بلوک محاسبه است.

این ویژگی در تئوری، می تواند به سوء استفاده از بلوک تولید کننده وضوح بالاتر پرداخت خواهید. EOS مکانیزمی است که تلاش برای مقابله با این که پیاده روی سالانه کل در تامین رمز هرگز خواهد شد بیش از 5% برای جایزه تهیه کننده است.

دارندگان EOS نشانه اقتدار شونو کردن تولید کننده بلوک است که تقاضا تورم بیشتر به عنوان مصلحت لازم میان تمام EOS رمز stakers است.

همه رمز stakers برای ذخیره سازی فایل در شبکه EOS از طریق درجاتی از تورم سالانه پرداخت این مکانیسم capping کنسرت دو EOS شبکه کار می کند. تا زمانی که خطر قادر به ذخیره فایل در شبکه EOS است، خود را نشانه EOS برگزار خواهد شد و ارزش تنها در نرخ تورم را از دست خواهد داد.

قابلیت ذخیره سازی مورد نیاز بلوک بیشتر از سازندگان بلوک است که به نوبه خود ارزش بالاتر برای خود کار را طلب کند، خواستار می شدند. به همین ترتیب، در مورد ذخیره سازی کاهش تقاضا تورم کمتر نتیجه منجر به تخریب کوچکتر در از دست دادن ارزش نشانه EOS برگزار شد تحت فشار قرار دادند خواهد بود.

پس چرا اصلی شبکه راه اندازی نشده است؟

در اصل 15% از تمام نشانه دو رای در مجلس تولید کننده بلوک بنا شود باید. نشانه های بزرگ هستند EOS رمز دارندگان رای دو تا 30 قطعه سازان اجازه. رای سپس توسط چند نشانه بنا دارد وزن شده است. اما از آنجا که کمتر از 3.5 درصد نشانه بنا در حال حاضر هستند، راه اندازی در برزخ است.

پس چه می دهد؟

یک احتمال این است که فقدان ساز و کار دارای اعتبار برای رای دادن است برخی از سرمایه گذاران در حاشیه نگه داشتن است.

با توجه به Jafri سید از کلگری EOS کافه، “اکثریت مردم ابزار vetted و تایید به امن قبل از پریدن بر روی رای دادن انتظار هستند.”

در حال حاضر، تنها راه برای نشانه برگزاری دو رای در EOS blockchain در کیف پول جدید است. بسیاری هستند که نتیجه شک و تردید که امن برای رای دادن است. همچنین با توجه به Jafri، “بخشی از دلیل برخی از مردم برای رای دادن انتظار این است که، در طول آزمایش blockchain فاز چند” حماسه “آسیب پذیری یافت شد.”

یکی دیگر از عوامل است که تا همین اواخر، تنها راه برای رای دادن از طریق خط فرمان بود. فنی کاربران به طور موثر از شرکت در رای خاموش نتیجه بودند.

اگر یک ترکیب غیر فنی گزینه های رای گیری با ترس مشروع در مورد ایمنی از رای گیری، عدم بنابراین در مجموع مواد غذایی یون به پایان می رسد که دو گروه اصلی شامل دارندگان رمز EOS است وقت خود را biding است. اکثر دارندگان را لمس خط فرمان با قطب 40 فوت و کسانی که فکر می کنم که حتی انجام این کار بیش از حد خطرناک است.

راستش تعجب با توجه به این واقعیت که هیچ شک و تردید بیشتر مورد EOS کلی است.

زیرا نشانه های بسیاری در حال نشستن در کیف پول EOS mainnet راه اندازی شد برای کسانی که نشانه EOS که بنا است، بسیاری از آنها را منجمد باقی می ماند تا. اما نشانه های EOS در مبادلات همچنان قادر به خرید و فروش.

تصویر ویژه نیت Shutterstock. 

فیلترشکن پرسرعت

گواهینامه ها – برای کلید های SSH امضا شده توسط CA، نحوه دیدن ویژگی های مختلف: مدیران، هویت، شماره سریال، گزینه ها، زمان معتبر، و غیره

من میخواهم کنترلهای دسترسی را از طریق کلید های عمومی ssh عمومی امضا کند، همانطور که در مقاله مقیاس پذیر و امن دسترسی با SSH توضیح داده شده است.

من سعی می کنم چگونگی مدیریت تیم ما را در سمت کالیفرنیا ببینیم. یک چیز که می خواهم بتوانم انجام دهم این است که پس از امضای یک کلید، من میخواهم که کلید را برای دریافت اطلاعات در مورد آن درخواست کنم. به طور خاص، برای یک کلید داده شده، می خواهم بدانم:

  • با آنچه که CA آن را امضا کرده (یعنی می توانم اطلاعاتی در مورد گواهی مورد استفاده برای امضای این کلیدی استخراج کنم؟)
  • چه هویت به این کلید ( -I پرچم به ssh-keygen اختصاص داده شده است)
  • کدام کلید (ها) توسط این کلید ( -n ssh-keygen پرچم)
  • زمان صحیح امضا (19459009] -V )
  • شماره سریال این امضا ( -z )
  • چه گزینه هایی تعیین شده است به این کلید امضا ( -O )

واضح است که sshd لزوما نیاز به رمزگشایی تمام این خصوصیات را هنگام ارائه کلید دارد. آیا روش برنامه ای برای استخراج اطلاعات وجود دارد؟ من درمورد بازرسی های عقلانی، حسابرسی و گزارشگری درمورد مدیریت تیم امنیتی اظهار نظر دارم