هویت – برگه 4 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 2, 2018

تأیید هویت – API سفارشی امن

من مشتری دسکتاپ را برای یک فروشگاه الکترونیکی ایجاد می کنم و این مشتری از بعضی از توابع با استفاده از API e-shop استفاده خواهد کرد، مانند:

 GetOrders
UpdateOrder
SetOrder
و غیره...

من تأیید هویت سفارشی را برای آن مشتری ایجاد می کنم، اما نمی دانم این است که در برابر حملات امن است.

تمام ارتباطات با سرویس گیرنده توسط HTTPS انجام می شود.

این کار به این صورت است: [19659006] در اولین درخواست مشتری باید نام کاربری و رمز عبور را برای
سرور بنابراین سرویس گیرنده هش رمز عبور را به چه کاربر ورودی و سپس پس از آن
مشتری درخواست را به سرور با نام کاربری و هشدار ارسال خواهد کرد
رمز عبور

سرور رمز عبور هشدار را با رمز عبور هشدار در DB مقایسه می کند
نام کاربری، اگر آن برابر باشد، سرور سرور را ایجاد می کند (مانند api key)

در هر درخواست سرور موفق، طول عمر نشانه را تجدید می کند.

درخواست ها باید مانند این باشد:

 ] POST / دستورات / دریافت HTTP / 1.1
میزبان: example.com
token = 123456789 & orderid = 10

آیا توصیه های امنیتی وجود دارد اگر من باید از درخواست های POST یا درخواست های GET استفاده کنم؟ آیا POST امن تر نیست و سپس دریافت؟ به عنوان مثال POST اطلاعات را در قسمت درخواست HTTP ذخیره می کند، اما GET آن را در URL ذخیره می کند.

آگوست 30, 2018

گذرواژهها – آیا امکان استفاده از نقاشی یا نقاشی به عنوان راهی برای احراز هویت وجود دارد؟

یک سرویس به نام https://www.typingdna.com/ وجود دارد که کاربر را براساس عادت های تایپ کردن آن تأیید می کند و به خوبی کار می کند اما هنوز هم نیاز به یک رمز عبور دارد.

برای تلاش و جایگزینی رمز عبور، آیا امکان اجرای یک پنجره مانند اندازه مدال مانند چیزی است که Google Recaptcha که کاربر می خواهد از موش یا انگشت خود برای رسم دادن به منظور تایید هویت استفاده کند، هر کاربر باید به شیوه ای متفاوت از آن استفاده کند؟ بنابراین ایده بر مبنای هر کدام از شخصیت های منحصر به فرد خود است که یک بازی را برای تأیید صحت یک جلسه جدید در وب سایت ایجاد می کند.

آیا این ایده امکان پذیر است؟ اگر این بود، فضای "رمز عبور" بزرگ خواهد بود، درست است؟

آگوست 24, 2018

احراز هویت – فشار خودکار در ارتکاب (در مخزن bitbucket)

من یک وبسایت دارم که تمام تغییرات انجام شده به یک مخزن محلی git انجام می شود.

من به نیاز دارم که آنها را به طور مستقیم از سرور وب به یک مخزن Bitbucket از راه دور بکشند.

روش احراز هویتی که من برای انجام این کار استفاده می کنم، توسط کلید رمز SSH ذخیره نشده در وب سرور ذخیره شده است، اما فکر می کنم این ممکن است خیلی امن نباشد

بنابراین سوال این است … آیا می دانید امن تر و یا به سادگی بهتر) روش به طور خودکار فشار از تغییرات از یک وب سرور به مخزن خصوصی Git-Bitbucket؟

آگوست 20, 2018

احراز هویت – دور زدن فرمان / اسکریپت مشخص شده در / etc / passwd

خط زیر از / etc / passwd :

 sadeq: x: 1000: 1000: محمد صادق دوستی ،،،: / home / sadeq: /bin/custom-script.sh را در نظر بگیرید

آخرین بخش /bin/custom-script.sh ، دستور / اسکریپت را اجرا می کند زمانی که کاربر وارد سیستم می شود. در حال حاضر، این یک اسکریپت ساده است که کاربر را با منو معرفی می کند، به طور موثری دستورات احتمالی را که می تواند اجرا کند، محدود کند.

یا امیدوارم این کار را انجام دهم! شاید کاربرانی بتوانند custom-script.sh را دور بزنند و به طور مستقیم به Bash دسترسی پیدا کنند.

آیا راهی برای دور زدن اسکریپت Bash فوق وجود دارد و دستورات دیگر را اجرا می کند؟

ویرایش: موارد ساده زیر را به عنوان custom- script.sh :

 #! / bin / bash
اکو اسم شما چیست؟
نام را بخوان
echo سلام نام قیمت

آگوست 13, 2018

احراز هویت – چرا من باید دستم را در مقابل کارت شناسایی کنم؟

من اخیرا مجبور بودم خودم را به صورت آنلاین تایید کنم تا از خدمات مبتنی بر اینترنت استفاده کنم. فرآیند تأیید صحت از طریق تماس ویدئویی انجام شد و من کارت شناسایی خود را در مقابل دوربین لپ تاپ من در کنار صورتم نگه داشتم. من همچنین مجبور شدم کارت شناسایی را بچرخانم تا شخص دیگری در انتهای تماس ویدیویی بتواند ویژگی های امنیتی که در کارت شناسایی چاپ شده است را ببیند.

سپس فرد از من خواست تا دستم را در مقابل کارت شناسایی ، به طوری که آن را به زودی به طور کامل تحت پوشش دست من چندین بار.

این روش برای دستیابی به این تئاتر امنیتی درست است؟