نوشته‌شده در

کلیدهای API را با JWT تولید کنید و در صورت لزوم همان کلید را بازسازی کنید

من اخیراً احساس نیاز خودم را برای ایجاد یک API عمومی برای برنامه خود پیدا کردم. برنامه خود را با node.js و MongoDB توسعه دادم. پس از انجام تحقیقات ، تصمیم گرفتم از jwt برای تولید کلیدهای API برای کاربران و تأیید اعتبار استفاده کنم. برای تأیید اعتبار نشانه های jwt ، آنها به این مزیت احتیاج دارند که نیازی به ذخیره آنها در یک بانک اطلاعاتی ندارند ، زیرا بدون اطلاع از نشانه دقیق تولید شده می توانند رمزگشایی و تأیید شوند.

اما من می بینم که بسیاری از برنامه ها کلیدهای API خود را در داشبورد برنامه نشان داده و به کاربران نشان دهید ، بنابراین باید این نشانه را ذخیره کنم تا بعداً آنها را به کاربران نشان دهد. من می دانم که ذخیره کردن نشانه ها ایده بدی است و در صورت نقض بانک اطلاعاتی ، این امر می تواند هکرها را با کلیدهای API جعل هویت دیگران کند.

بنابراین داستان کوتاه طولانی من در تلاش هستم راهی پیدا کنم تا نشانه های دقیق را ذخیره نکنم. ، اما فقط بار خود را در دیتابیس ذخیره کنید و هر بار که کاربران کلیدهای API خود را درخواست می کنند ، من فقط یکی را با [SECRET SECRET تولید می کنم و آن را به آنها منتقل می کنم. در حال حاضر می فهمم که اگر در مرحله توافق نامه ، هر بار که می خواهم بار مشابهی را با همان iat (صادر شده در) صادر کنم ، متن تولید شده هر بار یکسان خواهد بود. بنابراین با ذخیره کردن iat با داده بارگذاری در دیتابیس می توانم هر بار توکن دقیق تولید کنم.

اکنون سوالات من این است:

  • آیا این رویکرد خوب است یا روش بهتری وجود دارد؟
  • آیا هیچ روش خوبی برای تولید کلیدهای API بدون ذخیره آنها وجود دارد؟
  • آیا این حتی لازم است (با توجه به اینکه آیا ساحل بانک اطلاعاتی وجود دارد ، همه داده ها از قبل دزدیده شده اند)؟
  • آیا روش دیگری غیر از استفاده از jwt برای رسیدن به این هدف وجود دارد؟

نوشته‌شده در

مدیریت کلید – آیا اسکریپت اطلاعات حساس را در دایرکتوری خانگی در لینوکس سرقت می کند و SELinux راه بهینه / ابزار برای جلوگیری از آن است

فرضیه: در یک ایستگاه کاری لینوکس من به طور منظم از نرم افزارهای مختلف دانلود و استفاده می کنیم، بطور مثال ماژول های Perl یا Nodejs. وقتی که من از آنها استفاده می کنم، آنها بر روی دستگاه با من به عنوان صاحب کار می کنند و می توانند هر کاری که می توانند در دایرکتوری من انجام دهند، می توانند به کلید های من دسترسی پیدا کنند و به سرقت بروند (از طریق شبکه)

برای سال ها، در حال حاضر من در نهایت در زمان پیدا کردن SELinux برای مقابله با مشکل پیدا کرد. اما همانطور که SELinux یاد گرفتم، به نظر من این موضوع پیش می آید که ممکن است برخی از ماژول ها برای برنامه های کاربردی که از آن داده های حساس استفاده می کنند ایجاد شود، بگذارید یک ماژول خطمشی SELinux برای gnupg برای محدود کردن دسترسی به کلیدهای gpg برای آن برنامه اما به نظر نمی رسد این مورد باشد. به همین دلیل است که من شروع به تردید کل ایده کردم. من وب را برای "پرونده های دایرکتوری دایرکتوری خانه لینوکس" جستجو کردم و نتایج مشابهی در مورد سرقت فیزیکی بود. این بسیار بعید است که من تنها کسی هستم که در مورد این فکر کرد

بنابراین اولین سوال من این است آیا این فرض درست است ؟

اگر آن است، سپس آنچه مطلوب است گزینه هایی برای مقابله با این ؟ در حال حاضر قصد دارم سعی کنید سفارشی کردن سیاست SELinux هدفمند برای اجازه دسترسی به آن فایل های حساس تنها به یک مجموعه محدود از فرآیندها و احتمالا محدود کردن دسترسی شبکه بر اساس برنامه.

I باید سیاست سفارشی را سفارشی کند، زیرا به نظر می رسد دامنه unconfined_t اجازه دسترسی به هر دو user_home_t و gpg_secret_t از gpg_secret_t بخشی از ویژگی user_home_type و خط مشی اجازه دسترسی کامل به آن را می دهد : 

 $ sesearch -t gpg_secret_t -A
...
اجازه unconfined_t user_home_type: file {خواندن نوشتن ...}

نوشته‌شده در

/ dev / random تولید کلید جلسه

اگر یک سرور با استفاده از / dev / random به تولید کلید انتخاب تصادفی با یک مشتری انجام دهد. چگونه می توان یک حمله انکار سرویس (DOS) را بر روی یک سرور راه اندازی کرد؟

نوشته‌شده در

نقاط عطف امنیت رمزنگاری کلید Testnet منجر به برتری

نقاط عطف امنیت رمزنگاری کلید Testnet منجر به برتری

امنیت و با میکرو compucomputing هستند ترکیبی است که دو تا حد زیادی مربوط صعود به لحاظ اقتصادی و مالی، روزهای ابتدایی اینترنت تجاری ترکیب شده است فن آوری، جان مک آفی مرتبط دوران نرم افزار ضد ویروس و ترس از باگ هزاره (‘Y2K’)-meltdowns اجتماعی ناشی از. به عنوان یک بازیکن بازار “امنیت سایبری” است continuedvalue و رشد مورد ستایش قرار داد، با […]

نقاط عطف رمزنگاری و امنیت منجر به برتری Testnet کلید ارسال در اول Hacked ظاهر: هک مالی .

فیلترشکن پرسرعت

نوشته‌شده در

پرکردن به روز رسانی: سکه عملیات پایین تر اما سطوح حمایت نگه کلید

cryptocurrencies عمده ورزشی تخلیه امروز در اروپا، با بودن هنوز هم موج دار شدن ترین فرار از دیدگاه کوتاه مدت تجاری کوچک هستند. به طور کلی بازار بسیار آرام، با بسیاری از پول دیجیتال بالا گرفتار شدن در محدوده توسعه یافته در طول تعطیلات آخر هفته است. نوسانات. فشرده سازی به احتمال زیاد منجر به حرکت در مقیاس بزرگتر در بخش و تصویر گسترده تر هنوز نزولی است، شانس ادامه به نفع نتیجه منفی.

خرید سکه چند در کوتاه مدت سیگنال پناهگاه ‘ تی قادر به حفظ خود حرکت و با وجود خوشه در هفته های اخیر تغییر روند هنوز دور از در بخش تایید شده است. با Bitcoin و Ethereum هر دو کوتاه مدت ضعف نسبی نمایش معامله گران باید احتیاط با موقعیت های جدید حتی در مشخصات فنی قوی تر به باقی می ماند.

BTC/دلار 4 ساعته نمودار تجزیه و تحلیل

Bitcoin است هنوز تجارت در محدوده بسیار باریک تنها بالاتر از سطح قیمت 6500 دلار و با وجود کم نوسانات. در بازار، این است تنها به سختی برگزاری در روند افزایش ضعیف. خط روند بخشی از الگوی مثلث گسترده تر، که به احتمال زیاد به زودی شکسته شده است، و حرکت زیر سطح حمایت $6275 می تواند راه اندازی test از سطح $6000 و احتمالا منطقه کلیدی دراز مدت نزدیکی 5850 $ است.

در مقابل دزدی از بالا 6750 دلار تا 7000 $ و منطقه مقاومت قوی بین 7200 $ و $7300 باز می کند و در حال حاضر، سکه است هنوز هم در کوتاه بی طرف- و سیگنال های روند بلند مدت در مدل ما.

Altcoins مخلوط و تخت بعد از تعطیلات آخر هفته آرامش

ETH/دلار 4 ساعته نمودار تجزیه و تحلیل

در حالی که Ethereum پایین همراه با گسترده تر بازار امروز تبدیل شده، هنوز هم درست در زیر سطح حمایت/مقاومت کلید 235 دلار در حالی که خوب بالا معاملات منطقه اصلی پشتیبانی نزدیک 200 دلار. سکه هنوز سیگنال کوتاه مدت خنثی در مدل روند ما است و اگر چه راه اندازی بلند مدت با گسترده تر روند کاهش شیب دار بودن دست نخورده خصمانه، باقی می ماند، هیچ خطر فوری سیگنال فروش وجود دارد.

که گفت: معامله گران و سرمایه گذاران که 260 نباید وارد کردن موقعیت اینجا و قوی مقاومت های پیش رو و 275 $ و $280 در حالی که حمایت آن 180 $، در بر داشت 170 $ و $160.

XRP/USDT، 4 ساعته نمودار تجزیه و تحلیل

موج دار شدن احتمال تشکیل الگوی مثلث تثبیت پس از آن موفق به ماندن سطح $0.60 پس از تشکیل نوسان آن تجمع اخیر قوی و قلاب, پایین. با وجود ضعف فعلی کوتاه- و سیگنال فروش بلند مدت در محل باقی می ماند، اما با توجه به گرایش بخش گسترده ما هنوز هم خواستار معامله گران به دقت و توجه با موقعیت های جدید را در اینجا باقی می ماند.

XRP کلیدی بازرگانی در منطقه نزدیک سطح 0.57 $ در حال حاضر، با بیشتر پشتیبانی نزدیک $ $0.51، 0.54 و بین 0.42 $ و $0.46، در حالی که مقاومت پیش رو است که $0.64، که 0.68 و بین $0.725 و $0.75 است.

LTC/دلار 4 ساعته نمودار تجزیه و تحلیل

Litecoin شکست خورده برای ساخت در استحکام نسبی آن هفته گذشته را نشان می داد و سکه در حال حاضر نزدیک به جمع و جور کردن به خنثی در مدل روند ما راه اندازی است. LTC در حال حاضر تست خط روند کوتاه مدت افزایش پس از فرو بردن زیر سطح 60 دلار و Litecoin بوده است در میان بیشتر امیدوار کننده سکه در هفته های گذشته زیر $56 قطع خواهد بود ضربه بزرگی برای رمزنگاری بهره گرفت. در حالی که قوی مقاومت پیش رو است که 64 حمایت نزدیک به 51 دلار و 44 دلار، یافت می شود.

تصویر برجسته از Shutterstock

سلب مسئولیت: تحلیلگر صاحب cryptocurrencies. او دارای سرمایه گذاری در سکه ها موقعیت اما در کوتاه مدت و یا معامله در روز درگیر می کند و او را نگه ندارد موقعیت های کوتاه مدت را در هر یک از سکه ها.

فیلترشکن پرسرعت