کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
من قصد دارم یک API برای پروژه ام ایجاد کنم و فکر کنم در مورد احراز هویت. خطر ابتلا به هیچ گونه احراز هویت وجود ندارد؟
آیا کسی می تواند تمام مسیرهای ارسال / دریافت من را خالی کند؟ مثلا برخی از توابع API من عبارتند از: بازیابی جزئیات حساب های کاربری، ایجاد رزرو سرویس، بازیابی آن جزئیات رزرو، و غیره
من یک بازی تلفن همراه فرضی است که بازیکنان لزوما نیاز به ایجاد حساب برای بازی ندارند. داده های آنها از یک شناسه دستگاه مانند یک شناسه تبلیغاتی (IDFA) یا IdentifierForVendor شناسه اپل یا شناسه Android
کلید شده است. برای GDPR، باید تمام کاربران را مجاز به دانلود داده های خود کنم. آیا استفاده از یک شناسه دستگاه برای تأیید هویت کاربر ایمن است؟
به عنوان مثال، آیا این شناسه ها می توانند دروغین و حدس بزنند؟
من فقط با دوستم صحبت کردم. او به من گفت که مادرش همیشه توسط شخص ناشناخته در فیس بوک دوباره و دوباره مورد آزار و اذیت قرار گرفته است. او برای کمک به من از چگونگی پیدا کردن هویت واقعی این شخص خواسته شد.
آنچه که من در ذهن دارم این است که اگر دوستم از من پرسید کجا این فرد است و اگر از طریق مرورگر Tor از FB استفاده کند، نمیتوانم پاسخ
اما آنچه دوست من پرسید این شخص بود؟
بنابراین آنچه در ذهن من اتفاق افتاد این بود که استخراج اطلاعات از سیستم عامل که این فرد استفاده می کرد.
من اطلاعاتی در مورد قرار دادن یک بار در یک فایل (مانند jpg).
آنچه که من می خواهم انجام دهم این است که این تصویر را از طریق ایمیل شخصی خود ارسال کنم. تصویری که حاوی یک پیغام به صندوق پستی FB من از مادر من دوست FB است.
آنچه می خواهم بپرسم:
بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.
من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.
If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).
من در حال بررسی کارت هوشمند هستم و آسیب پذیری های هش را که همراه آن است، منتقل می کنم. یک مورد من علاقه مند هستم اما نمیتوانم اسناد را پیدا کنم
برخی از دستگاههایی که من بررسی کردم – مخصوصا Yubikey 4 – تنها پشتیبانی از یک گواهی PIV را ارائه می دهند. از اسناد MS این cert به راحتی می توان به چندین حساب کاربری نقشه برداری کرد، و یک راه آسان برای تغییر بین زمینه های امنیتی / سطوح فراهم می کند.
این در نظریه عالی است، اما اگر من بازیافت همان هش چند حسابه واقعا امنیت واقعی را ارائه نمی دهد. آیا استفاده از این گواهینامه تک نقشه برداری در انتهای انتهایی منجر به داشتن همان هش در حسابهاست؟
