نیست – برگه 2 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 12, 2018

TLS – آیا پسوند مرورگر یک خطر امنیتی بحرانی نیست؟

اخیرا تبلیغاتی زیادی به خطرات امنیتی عجیب و غریب مانند Spectre and Meltdown داده شده است که واکنش فوری واکنشهای پولوف از مایکروسافت، موزیلا و غیره است. اما اخیرا من متوجه شدم که واقعیت کنجکاو (به طور کلی شناخته شده) پسوند حزب برای دسترسی به همه چیز را در صفحاتی که به آنها دسترسی می کنید، از جمله داده هایی که در فرم های وب خود قرار می دهید، برای دسترسی به نیاز دارید.

با ذکر نام موزیلا:

"به ویژه یک مجوز وجود دارد" داده های خود را برای تمام وب سایت ها به دست آورید "، که از زمانی که این ویژگی راه اندازی شده است، بسیاری از سوالات را در مورد آن دریافت کردیم. دلیل آن این است که این کلمه به این دلیل است که یک صفحه وب می تواند تقریبا هر چیزی را داشته باشد و برخی از برنامه های افزودنی باید همه چیز را در آن بخوانند تا اقدام بر اساس آنچه که در صفحه وجود دارد، انجام دهید.
برای مثال، یک بلوک کننده آگهی نیاز به خواندن تمام محتوای صفحه وب برای شناسایی و حذف کد تبلیغاتی دارد. یک مدیر رمز عبور نیاز به شناسایی و نوشتن در فیلدهای نام کاربری و رمز عبور دارد. یک افزونه خرید ممکن است نیاز به خواندن جزئیات محصولات مورد جستجو را داشته باشد.
از آنجایی که این نوع extension ها نمی دانند که آیا یک صفحه وب خاص حاوی بیت است، تا زمانی که بارگذاری شود، باید تغییر کند، و نه فایرفاکس، به همه چیز در یک صفحه نیاز دارد تا بتواند قسمت های مناسب را جستجو و تغییر دهد. این بدان معنی است که در حقیقت، در حالی که نادر، یک توسعه دهنده مخرب می تواند به شما بگوید که توسعه دادن آن یک چیز است، در حالی که در واقع کاری دیگر انجام می دهد. »

اما این شامل حذف تمام رمزهای عبور شما، شماره کارت اعتباری و غیره می باشد. 19659002] این به نظر می رسد که فقط "خطر امنیتی" نیست، بلکه "خطر امنیت" است. این دیوانه است: رمزنگاری، به نظر من، اکنون چیزی نیست و کاربر، با برچسب سبز "Secure" در نوار URL مطمئن شده است. با خوشحالی شماره کارت اعتباری خود را وارد می کند تا بلافاصله به سرور دلخواهی ارسال شود که در ذهن او نیست ..

سوال من این است که چرا به نظر می رسد نسبتا کمی توجه به آنچه به نظر می رسد یک خطر امنیتی عظیم است؟ به عنوان مثال، انتظار دارم که به محض این که هر گونه پسوردهای مرورگر شخص ثالث با مجوز مشاهده «تمام اطلاعات خود» ، برچسب سبز «امن» برای سایتهای HTTPS با چیز دیگری جایگزین شود.

و نباید فرمت های مرورگر شخص ثالث را در آن ممنوع شود هر سازمانی که اطلاعات شخصی حساس را بررسی می کند؟

نوشته‌شده در سپتامبر 3, 2018
gnupg – کلید uid اصلی تغییرناپذیر نیست

اخیرا مجبور شدم یکی از UID های من را لغو کنم و یک کلید جدید در کلید اصلی GPG اضافه کنم. همانطور که انتظار داشتم UID جدید اولیه شد و سعی کردم آن را به اصل اصلی تغییر دهم (این یک لغو نیست). عجیب نیست من می توانم uid اولیه را تغییر دهید. من آن را با - متخصص در - ویرایش کلید سعی کردم اما هیچ خروجی متفاوت وجود دارد.

من uid 2 را انتخاب کرده و سپس اولیه . پس از آن من نجات آن اما هیچ تغییری وجود دارد. اگر تلاش كنید مراحل زیر را بعد از نجات دهید را نادیده بگیرید هیچ تغییری صورت نگرفته است.

علاوه بر این متوجه شدم كه UID جدید من دارای prefferences های صحیح است در حالی كه تمام دیگران به حداقل می رسند. (3DS، SHA1، و غیره) هنگامی که سعی می کنم آنها را با setpref به روز کنید، من گاهی اوقات هشدار می دهم که هیچ کدام از مواد اولیه به عنوان اولیه مشخص نشده است.

آیا چیزی وجود دارد که من از دست داده ام یا می توانم انجام دهم یک نتیجه جدید؟

نوشته‌شده در سپتامبر 1, 2018
رمزنگاری – OpenSC قادر به اتصال javacard با اپلت PKCS نیست

کارت هوشمند JavaCOS A40 من خالی هست و می خواهم آن را PKCS PKI کارت کنم.

من قصد دارم از آن به عنوان کلید ssh و برای امضای قرارداد الکترونیکی استفاده کنم. روسیه برای شناسایی شهروندان مانند کشورهای عضو اتحادیه اروپا، نشانی اینترنتی الکترونیکی مبتنی بر کارت های هوشمند را ارائه نمی دهد. ارائه دهندگان امضای تجاری امری برخی از انواع درایوهای USB محافظت شده با رمز عبور را به فروش می رسانند که استفاده از آن ناامن است زیرا شما می توانید به راحتی کلید خصوصی صادر کنید. همچنین آنها کارت های معمولی را به فروش می رسانند، اما واقعا گران هستند (x10-x20 از javacard خالی) و کوتاه مدت (حدود 1 سال). بنابراین من می خواهم PKI خود را بر اساس الگوریتم RSA از javacard ایجاد کنم.

اکنون javacard من در حالت OP_READY است و من آن را تغییر نداده ام، چون تغییرات غیر قابل برگشت است. از کلید پیش فرض استفاده می کند و هر کسی می تواند هر چیزی را بارگذاری کند. من از ACR38U خواننده با pcsc راننده لینوکس در اوبونتو استفاده میکنم و به عنوان انتظار میرود، بنابراین از GlobalPlatformPro برای آپلود PKI IsoApplet به عنوان پیشفرض استفاده میکنم. بنابراین خروجی GP:

java-jar gp.jar -list هشدار: هیچ کلیدی داده نشده است، با استفاده از کلید تست پیش فرض 404142434445464748494A4B4C4D4E4F ISD: A000000003000000 (OP_READY) Privs: SecurityDomain، CardLock، CardTerminate، CardReset، CVMManagement APP: F276A288BCFBA69D34F31001 (SELECTABLE) Privs: CardReset PKG: F276A288BCFBA69D34F310 (بارگیری شده) نسخه: 1.0 اپلت: F276A288BCFBA69D34F31001

cardpeek با موفقیت به آن متصل می شود و می توانم دستورات سطح پایین را به اپلت ارسال کنم

اما هنگام تلاش برای اتصال به کارت و اپلت با استفاده از opensc برای دیدن جواب به درخواست (ATR)، آن را شکست می دهد opensc-tool - خواننده 0 --atr . مشاهده حداکثر اطلاعات اشکالزدایی

نسخه کوتاه شده:

opensc-tool --reader 0 --atr -vv اتصال به کارت در خواننده ACS ACR 38U-CCID 00 00 ... 0x7fc849e7e740 22: 17: 14.634 [opensc-tool] card.c: 200: sc_connect_card: called 0x7fc849e7e740 22: 17: 14.634 [opensc-tool] card-entersafe.c: 138: entersafe_match_card: called اتصال به کارت انجام نشد: دستور کارت شکست خورد 0x7fc849e7e740 22: 17: 14.797 [opensc-tool] ctx.c: 870: sc_release_context: نام

بر اساس اطلاعات تولید کننده، کارت پشتیبانی از T = 0 بیش از ISO7816 است، اما opensc تلاش می کند با T = 1 ارتباط برقرار کند. پس چگونه می توانم این را حل کنم؟

به نظر می رسد که ابزار opensc قابل تنظیم نیست. من باید از pkcs15-crypt استفاده کنم اما نمیتوانم اتصال برقرار کنم. آیا می توانم درایورها را تغییر دهم، opensc را مجددا با پچ ها باز کرده یا از ابزار دیگری استفاده کنم؟ چگونه روش های دیگر من می توانم برای مثال برای OpenPGP کار کنم؟

نوشته‌شده در آگوست 30, 2018
اثر انگشت – Cloudflare چگونه مشتری خود را دنبال کنید؟ تور یک راه حل نیست

من یک سایت تجارت الکترونیک با استفاده از wget بازتاب دادم. این سایت به نظر می رسد از Cloudflare برای مدیریت ترافیک وب خود استفاده کند.

جالب است این است که پس از 90٪ یا بیشتر از انجام معکوس انجام شد، wget شروع به تولید / دریافت پیام های خطا فراوان کرد. سپس سعی کردم سایت را در یک مرورگر به طور منظم باز کنم اما با یک خطای 403 و یک پیام از Cloudflare خوش آمد گفتم "درخواست مسدود شده است". خوب، به اندازه کافی عادلانه، آنها احتمالا نمی خواهند مردم برای دانلود 1.5 میلیون صفحه از آنها (که در آن زمان من انجام شده بود)

با این حال

هنگامی که من استفاده از مرورگر Tor بر روی همان دستگاه من wget در هنگام دسترسی به همان سایت با استفاده از کامپیوتر دوم من (هر دو ماشین ها به یک فای متصل هستند) در هر دو مرورگر به طور منظم و مرورگر Tor کار می کنند، به خوبی کار می کنند.

Cloudflare به نحوی موفق به اثر انگشت دستگاه من اجرا wget در راه است که باعث می شود آنها را قادر به شناسایی دستگاه من از طریق Tor؟

چقدر اطلاعاتی که wget نشان می دهد هنگامی که آن را به یک سرور وب متصل می شود؟

این سخت افزار یک Macbook Pro 15 بسیار رایج است، بنابراین هیچ چیز فوق العاده ای وجود ندارد.

مرورگر Tor با استفاده از تنظیمات پیش فرض آن اجرا می شود.

نوشته‌شده در آگوست 29, 2018
قادر به دیدن درخواست WebGoat در پروکسی ZAP نیست

من ZAP را به پورت 8090 و همچنین فایرفاکس تا 8090 پیکربندی کردم، اما من نمیتوانم هیچ درخواستی از درس WebGoat ببینم، به جز درخواست اولیه http://detectportal.firefox.com. در اینجا تصویر تصویری از فایرفاکس و پروکسی ZAP اضافه شده است.

چه چیزی از اینجا گم شده است؟ ممنون از قبل.

راهبری نوشته‌ها

برگه قبلی برگه 1 برگه 2 برگه 3 … برگه 9 برگه بعدی