کاربر – برگه 5 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

جولای 7, 2018

TLS – یک گواهی کاربر با CA.key: openssl وارد کنید

من یک گواهی کاربر ( certname.pem ) و کلید کاربر ( keyname.pem ) که من با استفاده از دستور زیر تولید کردم

 openssl req - newkey rsa: 2048 -nodes -keyout keyname.pem -x509 -days 365 -out certname.pem

همچنین من یک کلید CA ( ca.key.pem ) و گواهینامه ریشه CA ( ca.root.pem ) با استفاده از فرمان زیر ایجاد کردم.

 openssl req-x509 -days 557 -newkey rsa: 1024 -out ca.root.pem -keyout ca.key.pem

حالا میخواهم گواهی کاربر ( certname.pem ) را با کلید CA ( ca.key.pem ) امضا کنم، اما من نمیتوانم این کار را با استفاده از دستور زیر انجام دهم

 openssl ca -create_serial -config openssl.cnf -cert ca.root.pem -keyfile ca.key.pem -in certname.pem -out new-certname.pem

به دلیل اینکه این دستور خطایی می دهد:

 خطا در خواندن درخواست گواهی در certname.pem
139992806578040: خطا: 0906D06C: روال PEM: PEM_read_bio: بدون خط شروع: pem_lib.c: 708: انتظار: درخواست CERTIFICATE

کجا به عنوان محتویات certname.pem من به شرح زیر است:

 ----- BEGIN CERTIFICATE -----
MIIDozCCAougAwIBAgIJALv1sRsVLIRgMA0GCSqGSIb3DQEBCwUAMGgxCzAJBgNV
BAYTAmluMQ0wCwYdvQQIDARhc2RmMQ0wCwYDVQQHDARhc2RmMQwwCgYDVQQKDANs
a2oxDDAKBgNVBAsMA2xrajEMMAoGA1UEAwwDbGtqMREwDwYJKoZIhvcNAQkBFgJs
ajAeFw0xODA3MDcxNDU1MzNaFw0xOTA3MDcxNDU1MzNaMGgxCzAJBgNVBAYTAmlu
MQ0wCwYDVQQIDARhc2RmMQ0wCwYDVQQHDARhc2RmMQwwCgYDVQQKDANsa2oxDDAK
BgNVBAsMA2xrajEMMAoGA1UEAwwDbGtqMREwDwYJKoZIhvcNAQkBFgJsajCCASIw
دیگه
PPsb7H5cUzk1b4N9tfGPoINZ68CY + HqTwXtBTtiwIvkvP / nKD5cp9PhpDB / AI4Zx
c83J72iBpMefn1KgWAUMBNnxnYkezK7SY3osotakBXAT + 4tJI1BXL / TAV74VKe9a
7rXSEqCTxcj / H0kbW + 2WR / N5yDXjJk68k1A4oQ4wSLiejC9ycqHkZluKZjJl8XNh
9QnEsTtZRiX59FbRa64A16Alv7tBSSTxyCFfQqPxSpgiORoU1vRQqWxD7IV5WXl7
fQLaxR07nmJKxYSK7fGRdcXLQBmkWA0V0pA3qreDAznSfElk3GNhtx0Erk0CAwEA
آهیچ
FGDedvJ2pbkR2wFsu60fjDPocMFsMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEL
BQADggEBAIIVz6Aiu1VwM71ecL7aNgyEuctAtfkiDfopKANtBA5yzLQZylALSkjz
سید / ویکیپدیا
aJC4klj57uf1mPzW71yycS9IKFFGardqijjlHUyhgJVBs8kZbABT7ZedYA5UYdv +
SUNnzOU2Sm / ktPF5vWp8y4WjgujYnZQqj7pI4ucwYxb8WRW2EeeGpkbA6DuU7Tnv
frliIESdu9 / UCQm7A5zxW47MKTBrVDfoRsbrbjFo9PiGCxG / 7bglykFHovWVN2ez
uqLIdDOC2lNFBOJLPhf5w9s3fEGl8m8 =
----- گواهی END -----

نحوه امضای این گواهی با ca.key.pem؟
لطفا کمک کنید.

مرجع برای گواهی تولید – https://www.ibm.com/support/knowledgecenter/en/SSWHYP_4.0.0/com.ibm.apimgmt.cmc.doc/task_apionprem_gernerate_self_signed_openSSL.html

جولای 6, 2018

احراز هویت – اس ام اس OTP به عنوان 2FA – آیا باید اس ام اس در اس ام اس برای تایید کاربر وجود داشته باشد؟

چند بار من پیاده سازی SMS 2FA را هنگامی که یک وب سایت نشان می دهد "sms id session" (به عبارتی، 8 رقمی نشانگر) را بلافاصله پس از ارسال اس ام اس به کاربر همراه با OTP فوری نشان می دهد. اس ام اس همراه با OTP (به عنوان مثال، 4 رقم) و شناسه اس ام اس (8 رقمی).
پس از آن کاربر باید شناسه session id اس ام اس در اس ام اس را در UI وب سایت و تنها پس از آن OTP را وارد کنید. اگر اسم شناسه جلسه مطابقت نداشته باشد، کاربر باید متوقف شود و از ورود OTP جلوگیری کند.

تعجب این نوع گردش کاری است که به دلایل امنیتی ساخته شده است؟ و تأیید اسناد session id از برخی از حملات محافظت می کند

یک مثال از چنین گردش کار: webmoney.ru

جولای 6, 2018

پایگاه های داده – آیا باید هر کاربر را در هر درخواست احراز هویت کنم؟

شما باید از مدیریت جلسه برای رسیدگی به انتقال اطلاعات بین مشتریان و سرورها استفاده کنید.

مدیریت جلسه اساسا شامل تأیید هویت یک کاربر برای انجام یک عمل ممتاز می شود، و تمام فعالیت های بعد از طریق اطلاعات "مشترک" مانند کوکی ها تأیید می شود.

درخواست از کاربران برای تأیید اعتبار برای هر اقدام ممکن است امن تر در نظر گرفته شود، اما به شدت باعث کاهش قابلیت استفاده از پلت فرم و رضایت کلی کاربر خواهد شد.

با توجه به بارگذاری پایگاه داده، بدون دیدن برنامه خاص من نمی توانم 100٪ با این حال من توصیه می کنم تا زمانی که شما در حال ورود آخرین زمان استفاده از جلسه، شما لازم نیست که خیلی اطلاعات دیگر را بنویسید پایگاه داده.

جولای 2, 2018

احراز هویت – در مواردی که شما باید یک کاربر پس از تعدادی از تلاش های شکست خورده را مسدود کنید؟

من یک برنامه وب دارم کاربران موجود می توانند با فرستادن ایمیل برنامه وب، کاربران جدید را دعوت کنند.

اگر کاربر نتواند 4 بار متوالی من را مسدود کند 5 دقیقه صبر کنید

در حال حاضر اطلاعات مهم در برنامه وجود ندارد.

مشکل با خط مشی فعلی:

اگر یک کاربر مخرب B می خواهید کاربر را مسدود کنید. او می تواند سعی کند با نام کاربری 4 بار هر 5 دقیقه وارد شود. سپس A نمی تواند به برنامه وارد شود.
من می توانم مسدود کنم اگر 4 نتواند cames از همان IP (و فقط برای آن IP مسدود شود). اما کاربر مخرب میتواند IP خود را تغییر دهد. من نمی دانم چطور، اما به طور بالقوه می توانم منابع خود را پر کنم (چون باید تعداد هر یک از آی پی ها را بشمارم)
من می توانم captcha را بگذارم، اما مطمئن نیستم که چقدر کمک می کند.

آیا می توانید کمک کنید من؟ چه می توانم بخوانم یا انجام دهم؟

ژوئن 30, 2018

تأیید هویت – آیا دلایل عینی برای استفاده از کاربر / رمز عبور اختصاص داده شده به جای ارائه دهندگان هویت در یک سازمان بزرگ وجود دارد؟

من برای یک سازمان بزرگ کار می کنم (هزاران نفر از کارمندان + شاید ده ها هزار نفر از کاربران خارجی که دسترسی جزئی به کسری از اطلاعات داخلی دارند) و بسیاری از این افراد با استفاده از نام کاربری / رمز عبور (که به طور مرتب منقضی می شوند) تایید می شوند. [19659002] با این حال، بسیاری از این افراد (برای کارکنان مشخص است صرف نظر از اینکه آیا آنها معمولا در ویندوز، لینوکس یا iOS کار می کنند) با یک حساب کاربری Active Directory (آدرس ایمیل داخلی) و AFAIK تمام سیستم های ما اجازه ورود به سیستم را با استفاده از ADFS فراهم می کنند.

حتی برای آن دسته از کاربران خارجی که دسترسی بسیار محدودی دارند (مثلا برای بعضی از گزارش ها) ما می توانیم یک راه حل را با استفاده از ارائه کننده اصلی هویت (مثلا گواهی هویت گوگل) پیاده کنیم، اگر ADFS مجاز نباشد.

Creating usernames / password یک بار برای کاربران و بسیاری از آنها از فایل های اکسل و ایمیل برای ذخیره آنها استفاده می کنند که یک خطر امنیتی است. همچنین از اشتراک کاربری شنیدم، بنابراین نمیتوانم بدانم که چه کسی از یک کاربر خاص استفاده کرده است.

بنابراین، با استفاده منحصربفرد از اعتبارهای ویندوز و شاید برخی ارائه دهندگان هویت دیگر، کاربر باید فقط از یک جفت اعتبار در هنگام برخورد با تمام سیستم های شرکت. همچنین، به اشتراک گذاری اعتبار ناپدید خواهد شد.

سوال: آیا دلایل عینی برای استفاده از کاربر / رمز اختصاصی به جای ارائه دهندگان هویت در یک سازمان بزرگ وجود دارد؟