نوشته‌شده در

مرورگر وب – آیا می توانید درخواست از نرم افزار های مختلف در همان دستگاه به یک سرور شناسایی می شود از همان مبدا توسط ردیابی TLS handshakes؟

اگر دو کاربر مختلف بازدید از یک وب سایت از دو مرورگر مختلف از طریق HTTPS، می تواند آنها را توسط سرور شناسایی شده از همان مبدا (همان دستگاه مشتری) با استفاده از اطلاعات موجود از دست TLS (به جز IP فقط)

As تا آنجا که می توانم درک کنم – از آنجا که TLS زیر لایه برنامه است، بنابراین شناسه جلسه (از سرور Hello در هنگام دست رسیدن TLS) می تواند برای هر دو درخواست از مرورگرهای مختلف یکسان باشد. بنابراین سرور می تواند هر دو درخواست را از یک ماشین تعیین کند – درست است؟

و، همانطور که در شرح زیر از این مقاله –

اتصال در زمانیکه هر دو طرف ارسال و دریافت می شوند، باز می شود
  داده های رمزگذاری شده تا زمانی که هر یک از طرفین یک پیام "هشدار بسته" ارسال کند
  و سپس اتصال را متوقف می کند. اگر ما کمی بعد از اتصال مجدد
  قطع می شود، ما می توانیم از کلید های مذاکره مجدد استفاده کنیم (اگر سرور هنوز
  آنها را کش مدیریت می کند) بدون استفاده از عملیات کلید عمومی، در غیر این صورت ما انجام می دهیم
  یک دستاورد کاملا جدید کاملا

مقاله ذکر شده در بالا به این معنی است که حتی پس از قطع ارتباط، کلیدهای مذکور مشابه می توانند برای ادامه تبادل اطلاعات استفاده شوند. آیا حتی پس از تغییر آی پی، سرور می تواند (فقط بر اساس TLS) ردیابی کند که درخواست ها از یک دستگاه در می آید؟

آیا چیز دیگری است که معمولا شناخته شده است که یک سرور می تواند برای اطمینان از ارتباط دو درخواست مختلف HTTPS استفاده کند منشاء از همان دستگاه (اما متفاوت است
 مرورگر)

متاسفم اگر این جای مناسب برای سوال خاص OS نیست.

نوشته‌شده در

برنامه وب – چرا سیاست همان مبدا بر اساس نام میزبان و نه در IP است؟

سیاست منشاء همان، محدود کردن یک صفحه برای دسترسی به یک سند دیگر از دسترسی به داده ها است. از آنجا که آنها منشا متفاوت دارند که در آن SOP منشا را به شرح زیر تعریف می کند.

منشاء به عنوان پروتکل، نام میزبان و پورت تعریف شده است. اگر صفحه یا سند وجود دارد پس SOP به آن اعمال می شود اگر آن را با این سه مطابقت کند.

من به عنوان تعجب

چرا SOP بر اساس نام میزبان، نه بر روی آدرس آی پی است

اگر SOP بر اساس آدرس IP بر اساس آدرس IP باشد، چه مسائلی وجود دارد؟ در حال حاضر SOP می تواند با استفاده از DNS مورد حمله قرار گیرد که در آن مجددا حمله مجرمان می خواهد دسترسی به شبکه در پشت فایروال را به دست آورد و سوء استفاده از DNS به منظور دور زدن SOP.

نوشته‌شده در

openssl – CSR چندگانه از همان کلید خصوصی

در نظر بگیرید که من یک کلید خصوصی جدید نامشخص با استفاده از openssl ایجاد کنم: 

 openssl genrsa-out personal.key 2048

من پس از آن چند درخواست CSR (به نام csr1.csr و csr2.csr ): 

 openssl req-new -sha256 -key personal.key -out csr1 .csr
openssl req -new -sha256 -key personal.key -out csr2.csr

(هر دو CSR با همان مجموعه ای از فیلدها تولید می شوند.

فایل های .csr به احزاب مختلف داده می شود و csr1.csr به خطر افتاده است توسط شخص ثالث

چگونه امن و اعتماد هستند csr2.csr و personal.key اکنون (در شرایط استفاده باقی مانده و حفظ آنها برای استفاده در آینده)

باید csr2.csr و / یا personal.key اگر csr1.csr به خطر افتاده است؟ اگر چنین است، چرا این است؟

نوشته‌شده در

dns – مدیریت زیر دامنه چندگانه و اضافه کردن زیر دامنه، در همان دامنه برای SAAS، از GoDaddy؟

من برنامه دارم و کار بر روی پلت فرم SAAS است.
تنها موضوع با نگه داشتن چندین زیر دامنه.
دامنه ثبت نام از Godaddy

اگر هر کسی دسترسی به زیر دامنه ثبت نام، آن را به طور خودکار برای ایجاد زیر دامنه هدایت می کند.

من می خواهم آن را از هر کسی جلوگیری کنم، تنها کاربر ثبت نام میتواند به آن دسترسی پیدا کند. کاربر غیر مجاز نمیتواند به عنوان یک کاربر دسترسی پیدا کند و ثبت نام کند و زیر دامنه را ایجاد کند.

مثال: 

  Sub Domain Domain (دامنه ثبت نشده)
 http://xyz.com http://abc.xyz.com
                          (اگر کسی به زیر دامنه دسترسی پیدا کند،
                        آن را ایجاد زیر دامنه، من می خواهم از آن جلوگیری می کند.)

برای پاسخ ارزشمند خود به شما سلام می کند

نوشته‌شده در

همان سیاست مبدأ – آیا CORS و CSRF-tokens فقط برای درخواست های POST و GET است؟

سوالات زیر را در رابطه با CSRF، SOP و CORS مطرح می کنم.

  1. آیا نشانه های CSRF تنها از ارسال فرم با روش POST یا GET محافظت می کنند؟ آیا این فقط یک "معمول" است (با توجه به این واقعیت که تنها ارسال های ارسالی آسیب پذیر هستند مانند مثال درخواست POST برای انتقال وجوه در یک وب سایت بانکداری وب)

  2. آیا CORS تنها در صورت درخواست محتوای با GET موجود است روش و نه با POST؟ اگر یک فرم با استفاده از نشانه CSRF محافظت شده باشد، در این صورت هیچ نگرانی در مورد CORS برای ایجاد چنین درخواست (به معنی ارسال فرم از یک دامنه متفاوت) وجود ندارد؛ به این دلیل که حتی با فعال شدن CORS، یک نشانه CSRF از این محتوا محافظت می شود (حتی اگر این یک مورد معمول استفاده از نشانه CSRF نیست)

  3. آیا CORS بر اساس چک کردن سرصفحه مبدأ به دلیل این واقعیت است که مرورگر قربانی را نمی توان به دروغ گویی سرچشمه مبدأ فریب داد؟ در حالی که CURL ما را قادر به فریب دادن هدرها می کند، در این حمله خاص مرورگر قربانی نمی تواند فریب خورده باشد؟

من پست های مختلفی را در رابطه با بالا خوانده ام، اما توضیح واضح تر را دوست دارم. به عنوان مثال من این را خوانده ام:

با این حال، بارگیری منابع از میزبان های دیگر مانند تصاویر، اسکریپت ها، شیوه نامه ها، فریم ها، فرم های ارسال و غیره به این محدودیت محدود نمی شود

چه چیزی باعث دلگرمی من است فکر می کنم این است که اکثر موضوعات در مورد CSRF نشانه تنها در نمونه هایی با فرم ها و ارسال داده ها با روش POST به یک سرور مشخص می شود و بر روی تصویر بزرگ تر توضیح نمی دهد.