نوشته‌شده در

انطباق – پیامدهای ناشی از عدم امکان خروج از فرم های مایکروسافت

من با برخی از ناامیدی در تلاش برای استفاده از فرم Microsoft Forms در دفتر 365 و عدم پشتیبانی از خروج از هنگام مسابقه (نوعی از نوع در برنامه). من تعجب می کنم که آیا زاویه ای وجود دارد که من بتوانم درمورد حفظ حریم خصوصی، رعایت GDPR یا سایر اهرم های تنظیم کننده ای که می توانند برای دریافت تیم محصول به مرحله ساده اضافه کردن یک پیوند خروجی کار به محصول خود مراجعه کنند، مورد استفاده قرار گیرد.

متن تقریبا همه در اینجا در پیشنهاد مایکروسافت UserVoice است، اما برای تکرار، شما می توانید یک مسابقه در قالب های مایکروسافت به طوری که یک کاربر فرم کامل و سیاهههای مربوط به دفتر 365، اما همچنان به برنامه Office 365 فرم ها وارد شده است. هیچ دکمه خروج از سیستم و یا پیوند در صفحه برای فرم مسابقه وجود ندارد و تنها راه برای خروج این است که کش و کش و کوکی ها را پاک کنید. اگر شما در حال ایجاد یک فرم و نه فقط در صفحه برای گرفتن و ارسال مسابقه هستید، یک پیوند خروجی وجود دارد که به نظر می رسد کار می کند. این پیوند در صفحه آزمون وجود ندارد و هیچ نشانه ای از اینکه چه کسی وارد سیستم شده است وجود ندارد.

مایکروسافت انکار می کند که هیچ مشکلی با این واقعیت وجود ندارد که خروج از دفتر 365 از همه برنامه های Office 365 شما را وارد نکنید. مایکروسافت بیان می کند که پیکربندی مرورگر در حالت ناشناس / خصوصی یا کوکی ها را به صورت خودکار پاک می کند و در بستن مرورگر باید به عنوان راه حل مورد توجه قرار گیرد. حالت ناشناس کارها را کند می کند و این قبیل رایانه های قدیمی هستند. سافاری یکی از مرورگرهای اصلی ما است و درک من این است که امکان پیکربندی آن برای پاک کردن حافظه پنهان و کوکی ها در هنگام خروج وجود ندارد.

من می فهمم که بدست آوردن یک چوب بزرگتر به آنها کمک می کند خطای روش های آنها را ببینند. با وجود همه چیز، کاربر می تواند فکر کند که آنها از سیستم خارج شده اند: آنها از سیستم Office 365 خارج می شوند، اما فرمها همچنان وارد سیستم می شوند. داده ها و حساب آنها برای فرد بعدی برای استفاده از رایانه در دسترس هستند. این در مدرسه با دستگاه های مشترک است که در میان کاربران مختلف در سراسر روز منتقل می شود. آیا اساسا برای یک شکایت یا به مقام مسئول حفظ حریم خصوصی مایکروسافت، افسر صدور گواهینامه GDPR مایکروسافت یا خود سازمان های مربوطه نظارتی وجود دارد؟

آیا شما فکر می کنید این یک مسئله مربوط به نظارت قانونی با برخی از شایستگی است یا مایکروسافت منطقی در بیان اینکه حالت ناشناس و / یا پاکسازی مرورگر یک راه حل قابل قبول است که سازمان باید برای اطمینان از حریم خصوصی کاربران داده شود؟

نوشته‌شده در

برنامه وب – خطرات امنیتی ناشی از نامهای کاربری ایجاد شده توسط کاربر بر روی وب سرور

آیا نام فایل ها خود را یک خطر امنیتی قرار می دهند؟

ما یک وب سرور داریم، کاربران می توانند فایل ها را به سرور آپلود کنند. فایل ها به طور موقت در سرور ذخیره می شوند، سپس به S3 منتقل می شوند. نام فایل ها به پایگاه داده MySQL ما ثبت می شوند و در نهایت در HTML و CSS که وب سرور ما تولید می کند را شامل می شود. نام فایل های خود هرگز از آنچه کاربر بارگذاری نمی شود تغییر یافته است.

از لحاظ امنیتی، آیا آسیب پذیری وجود دارد که می تواند با یک نام فایل صرفه جویی شود؟ آیا ما باید نام فایل های محتوای آپلود شده را تغییر دهیم یا ایمن باشد تا بتوانیم نام فایل ها را به سادگی ذخیره کنیم؟

نوشته‌شده در

برنامه ی وب – خطرات ناشی از سوءاستفاده از کاربران / مجوز آپاچی چیست و راه درست برای انجام آن چیست؟

هر بار که آپاچی را برای تست یک اسکریپت نصب می کنم، این سوال برای من مطرح می شود. من آن را اغلب انجام نیست، اما من به یاد داشته باشید این یک نقطه درد از سال 2007 است.

بسیاری از آموزش / انجمن توصیه استفاده از: 

 sudo chmod -R 777 / var / www /

اما هرگز اشاره نکنید که این برای تولید نیست یا هنوز هم توصیه می شود حتی زمانی که سؤال مشخص کند که سرور به صورت عمومی روبرو است، اما ما نمی خواهیم غریبه ها قادر به نوشتن پرونده ها در سرور ما باشند

راه حل دیگری پیدا شد تغییر صاحب پوشه به کاربر شما، و سپس تغییر مجوز: 

 sudo chgrp joe / var / www / html
sudo chmod 775 / var / www / html
sudo chown -R joe / var / www / html / *

اما داشتن مالکیت فایل های به صورت عمومی و در حال اجرا من را به عنوان یک عمل بد عمل می کند، نه همه فایلی که ممکن است در این پوشه ایجاد کنیم متعلق به کاربر ما خواهد بود.

پیامدهای این و دیگر رفتارهای بد ؟ راه های صحیح تنظیم مجدد کاربران / مجوز یک وب سرور روبرو می شوند؟