رمزگذاری – بهترین راه حل اگر SSL / TSL در دسترس نیست؟
من یک سرور UDP در پایتون ایجاد میکنم که به عنوان یک سرور بازی برای تأیید اعتبار و اعتبار یک سرویس دهنده بازی عمل خواهد کرد. من می خواهم از برخی از روش های امنیتی کانال استفاده کنم که در آن یک کاربر به من اعتبار ورود را ارسال می کند و در آنجا من برخی از نوع nonce را به کاربر می فرستم تا اعتبار هر یک از بسته های فرستاده شده به سرور من را تایید کند. متاسفانه، بدون در نظر گرفتن رمزگذاری کانال، هر دو اعتبار و nonce به شخص در حمله های میانه مربوط می شود.
نه تنها یک مهاجم مخرب قادر خواهد بود به آن حمله کند، بازیکن (مشتری) خود می تواند خود را سوء ظن و همچنین احتمالا راهی برای انجام تک تک وجود دارد که این یک بازی است، نمی تواند به معنای تلاش برای شکستن گذرواژه باشد، بلکه تقلب از طرف شخصیت بازیکن خود را با ارسال بسته های بد
سرور خود می تواند از SSL / TSL هر چند پروتکل دیگر با گواهینامه و آثار آن را به عنوان سفارشی و در پایتون. مشتری موتور واقعی بازی است (بدون دسترسی به کد منبع) که طیف گسترده ای از روش های شبکه را ارائه می دهد، اما به نظر نمی رسد راهی برای رمزگذاری / ایمن سوکت ایجاد شده یا بسته های خود فراهم کند. آنها شیوه های هش کردن داده ها در بافر را با SHA / MD5 دارند. اما این در مورد آن است.
بنابراین، گزینه های من چه هستند؟ فقط با آن برخورد کنید؟ من فکر میکردم شاید بتوانم از برخی از انواع گزینه PGP در اینجا استفاده کنم وقتی یک کلید عمومی و خصوصی ایجاد میکنم که احتمالا اگر من خوش شانس باشم قادر به رمزگذاری و امضای اعتبار و عدم امنیت هستم، اما احتمالا ممکن نیست.
چرا بخش XXE از تزریق در OWASP Top 10 نیست؟
من سعی دارم به خودم توضیح دهم که چرا XXE تحت دسته تزریق نمی افتد، به عنوان یک شکل از تزریق XML است.
XML شخصیت خارجی حمله ای است که تجزیه کننده XML / مترجم را دستکاری می کند افشای اطلاعات برخی از داده ها (به عنوان مثال، فایل از سیستم فایل)
تزریق SQL یک حمله است که تفسیر SQL را برای دستیابی به طیف وسیعی از اهداف منعکس می کند، که یکی از آنها ممکن است افشای اطلاعات برخی از داده ها باشد. [19659002] بعضی از سازمانها حتی یک حمله تزریقی XXE نامیده اند و OWASP لیست تزریق XML را تحت A1 می نویسد. در حالی که من می توانم استدلال کنم که با استفاده از XXE شما از لحاظ فنی هیچ دستورالعمل را به مترجم تزریق نمی کنید، جریان داده ها برای هر دو دسته اساسا یکسان است:
تهدیدات اساسا یکسان هستند – افشای اطلاعات و انکار سرویس، هرچند به وضوح با تزریق SQL شما می توانید حتی بیشتر انجام دهید.
بنابراین، شما چه چیزی استدلال می کنید دلیل اصلی این تقسیم چیست؟ آیا به سادگی می توان آگاهی را برای XXE به طور خاص افزایش داد یا آیا واقعا می تواند به عنوان مستقل طبقه بندی شود؟
من می توانم استدلال کنم که حتی XXS را می توان به عنوان تزریق درمان کرد، اما می توانم بپذیرم که تمایز اینجا این است که سیستم isn ' T حمله کرد، اما کاربران آن.
شبکه – NAT: چرا برخی از برنامه ها نیاز به حمل پورت دستی نیست؟
شبکه تبادل پشته
شبکه تبادل پشته شامل 173 انجمن Q & A شامل سرریز پشته، بزرگترین و معتبر ترین انجمن آنلاین برای توسعه دهندگان برای یادگیری، به اشتراک گذاری دانش خود و ایجاد حرفه ای خود را.
دیدن پشته تبادل
pptp – باید رئیس را بگویم شرکت VPN امن نیست؟
من در یک شرکت کوچک کار می کنم و اخیرا سرمایه گذاری کرده ایم در یک سرور جدید که خدمات VPN را فراهم می کند.
امروز با شرکت فناوری اطلاعات تماس گرفتم تا لپ تاپم را وصل کنم تا بتوانم از خانه کار کنم.
از پروتکل VPN استفاده کردم و آنها PPTP به من گفتند.
من می دانم که این یک پروتکل بسیار قدیمی است و برای امنیت آن کمی آسیب پذیر است (به عنوان مثال برای CloudCracker).
اکنون ما با اطلاعات بسیار حساس روبرو نمی شویم و به نظر می رسد دشوار است تصور کنیم کسی که زمان و پول را برای به خطر انداختن اطلاعات ما سرمایه گذاری می کند. اما این تهدید است که من باید از آن اجتناب شود.
رئیس من کاملا شخص مضطرب است و از اینکه او را از تمام سناریوهای احتمالی نجات دهد او تردید می کند
ما احتمالا شرکت فناوری اطلاعات را تغییر خواهیم داد به زودی.
چه باید بکنم؟
