کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
آیا DigestClient در حال اجرا است که از خانواده SHA2 الگوریتم های هش پشتیبانی می کند؟ پیاده سازی جاری DigestClient زمانی رخ خواهد داد که چالش الگوریتم چیزی جز "md5" یا "md5-sess" باشد. به DigestClient خط 1134 مراجعه کنید که در مورد چالش سرور شامل الگوریتم = "SHA-256" است.
افکار فعلی این است که خودم IAuthenticationModule -HDM5 و پیاده سازی را با AuthenticationManager ثبت کنید.
من یک برنامه کاربردی دارم که دارای سرویس میکروسکوپ مخصوص خود است تا علامت های دسترسی را صادر کند. برای کاربران ثبت نام با استفاده از ایمیل و رمز عبور من از grant_type = 'password' استفاده می کنم. وقتی که یک کاربر در استفاده از رسانه های اجتماعی اقدام به ثبت نام می کند چه می شود؟
من فکر کردم که یک رمز عبور تصادفی برای دسترسی به نشانه های دسترسی ایجاد کنم، اما سرور oauth فقط کلمه عبور متن ساده را می پذیرد و من رمز ذخیره شده در هش ها را در db خود ذخیره می کنم. آیا باید برای استفاده از نشانه های مختلف از نوع دیگری استفاده کنم؟
آیا این جریان نیز می تواند بر روی یک مرورگر دسکتاپ بدون هیچگونه سخت افزار اضافی اجرا شود؟ آیا اصلاح کننده پیش فرض در مرورگرهایی که می تواند برای آن مورد استفاده قرار گیرد اجرا شود؟
کروم و احتمالا اکثر مرورگرها می توانند یک جفت کلید عمومی خصوصی ایجاد کنند و از آن برای احراز هویت استفاده کنند. با این حال، امنیت این کلید بدون محافظت توسط سخت افزار اختصاصی مانند در مورد گوشی در بهترین حالت بسیار مشکوک است.
راه حل ترجیح داده شده است که از یک نشانه USB مانند YubiKey استفاده کنید. اکثر اینها نیاز به تعامل دارند، یعنی با فشار دادن یک دکمه در نشانه، برای جلوگیری از استفاده از نرم افزارهای مخرب بدون دانش کاربران، اما شما ممکن است قادر به پیدا کردن یکی از آنها نیست، یا به طور خلاصه شما ممکن است قادر به پیدا کردن یک که اجازه می دهد تا شما برای تغییر سیستم عامل خود و غیر فعال کردن این مورد.
طبق معمول، ابتدا با تعریف مدل تهدید شروع کنیم: شما نگران کسی هستید که گوشی خود را نگه دارید و از طریق تاریخچه اس ام اس شما نگاه کنید. اما شما در مورد SMSes که درگیر شده اند نگران نباشید. این کمی از یک مدل امنیتی عجیب و غریب است که موجب می شود SMSes ها به راحتی از بین برود و تلفن شما سرقت شود و از طریق یک رمز عبور قوی نسبتا سخت باشد. اما خوب.
بگو آیا اگر احراز هویت سایت از یک الگوریتم ناامن برای تولید رمز عبور یک بار استفاده کند. با توجه به تاریخچه کافی از گذرواژههای یکبار، کسی که قادر به بازیابی اس ام اس ذخیره شده در تلفن من است، میتواند پسورد یکبار دیگر را در دنباله ایجاد کند.
البته نمیتوانم تضمین کنم که هر سایت در اینترنت ویژگی OTP، اما این یک استاندارد بسیار دقیق تعریف شده است. دیدن ویکیپدیا / HOTP از آنجایی که این بر اساس توابع هش شبیه رمزنگاری قوی است، هیچ خطری برای مهاجم ایجاد ارزش های آینده از گذشته وجود ندارد. و یا اگر آنها می توانند، سپس تابع هش شکسته می شود و آنها را به نفع یک بهتر بازنشسته می شود.
همچنین ممکن است که یک وب سایت به درستی بخش "یک بار" یک بار اجرا نمی شود رمز عبور، اما منظورم این است، یک بخش بسیار اساسی از اجرای سیستم OTP
از احراز هویت پایه استفاده نکنید، آن منسوخ شده است. هنگام استفاده از اعتبارنامه احراز هویت پایه به عنوان یک شناسه جلسه به کار می رود، بنابراین باید در هر درخواست ارسال شود. این دو حادثه بزرگ است:
مجوزهای ذخیره شده در حافظه پنهان مرورگر در متن ساده است که ممکن است در بعضی از سناریوها مورد سوء استفاده قرار گیرد.
جلسه را نمی توان متوقف کرد زیرا آن را به اعتبار کاربر متصل می کند و اعتبار هیچ مفهومی از منقضی شدن به عنوان JWT، کوکی ها و یا نوع دیگری از نشانه ها (توجه: هنگامی که می گوید منقضی شده من اشاره به رمز گشایی رمز عبور به عنوان در "نیاز به تغییر رمز عبور هر 3 ماه"، اما اعتبار به عنوان یک طرح اعتبار سنجی)
حتی اگر شما تلاش برای استفاده از احراز هویت اساسی سپس یک مرورگر کوکی را ارسال می کند که اعتبارنامه را در header مجوز حفظ خواهد کرد.
اگر شما از درخواست AJAX استفاده می کنید، توصیه من این است که با احراز هویت کوکی یا مهاجرت به JWT بمانم. توجه داشته باشید که اگر API از یک نام میزبان دیگر نامیده می شود (به عنوان مثال www.example.com یک api را در api.example.com فراخوانی می کند)، سرصفحه های مربوط به CORS برای اجازه دادن به اعتبار ها باید به درستی تنظیم شوند
