احراز هویت – چرا با انواع خاصی از 2fa مضطرب می شوند اگر آنها می توانند به راحتی کنار گذاشته شوند؟
بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.
من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.
If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).
Ethereum های داخلی نزاع خار کنار عنوان ETH رشد رقابت با Bitcoin
Ethereum مرحله یا دو پشت Bitcoin در حالی که در حال حاضر شده است. از تصادف اوایل اوت هر بازیابی توسط Ethereum ساخته شده توسط Bitcoin کنارهای شده. اما تا سه شنبه 28 آگوست Ethereum; s رشد پیش از Bitcoin، هل دادن به عنوان مزایای بازار از افزایش 34% به حجم جهانی بیش از چهل و هشت ساعت گذشته.
Ethereum رشد تحت فشار قرار دادند جلو
تفاوت نیست بزرگ در زمان نوشتن، اما از 11:00 UTC Ethereum کمی بیش از 4% ضبط کرده رشد روز به Bitcoin است 3.85% نسبت به تعداد کسانی که به نوسان توسط در ساعت.
این است صبح در آن جامعه پرکردن در حالی که بالا به Bitcoin بیش از $6.900 حدود یک چشم دیده نشده از قبل از شیب اوایل اوت. در حالی که BTC خواهد شد در همه احتمال گرفتن سهم عمده ای از سرفصل، به عنوان آن را به فرار حدود 200 دلار بالا است که آن در اواخر فرو رفته شده است دنبال Ethereum و بالاخره برخی از پیشرفت ساخت است.
پس از رسیدن به پایین بیست و چهار دلار 276.21 روز سه شنبه, 27 اوت Ethereum آغاز برگشت سریع است که اسپایک یک شبه به لحن 4% را دیدم.
که افزایش زمان ETH به بالا از $287.46. خروش هجوم 34% به بازارهای جهانی طی دو روز گذشته و در حالی که به نظر می رسد Ethereum از فعالیت افزایش نسبتا کمی از حجم تجارت در بر داشت راه خود را به ETH سود برده است همزمان با.
افزایش حجم تجارت از 1.2 تریلیون دلار 1.4 تریلیون دلار به بیش از 16 درصد افزایش دهد اما در مقایسه با دیگر altcoins است که درصد افزایش که بسیار به آن مقدار نیست مقدار.
تبادل محبوب ترین برای ETH معاملات امروز Binance که ETH/USDT کمتر از 3% روزانه کل را می سازد، و یا 77 میلیون دلار ارزش است. با این حال مقدار بسیار عظیمی از دوره روزانه از خوانش CoinMarketCap را با بیش از 1 میلیارد دلار به ارزش محروم شده اند خارج از BitForex تجارت DOBI و CoinBene به تنهایی.
Ethereum های داخلی نزاع Hardfork
هر هفته گذشته Ethereum هسته Devs جلسه #45، زنده جریان در یوتیوب، تیم توسعه پشت Ethereum هنوز بلاتکلیف در جهت blockchain باید در سرب تا هستند hardfork دومین شهر بزرگ دوران معروف به قسطنطنیه.
فعلی خود نگرانی های اطراف چرخند عمدتا شيوع ASIC، چگونه پاداش بهترین کردن بلوک، و مشکل تنظیم بر روی ‘بمب مشکل استخراج.
بسیاری از پیشنهادات بهبود موجود Ethereum (EIP) رو به جلو قرار داده شده توسط تیم توسعه تمدن ضد و نقیض است و هیچکدام از آنها به جلو یا عقب سازگار با blockchain فعلی است.
با اكتبر تاریخ راه اندازی برای hardfork قسطنطنیه بیش از یک ماه دور، تحولات داخلی Ethereum نهایت در آن قیمت سکه برای خوب یا بد منعکس می تواند. در سال های اخیر هر hardfork جدید Ethereum با افزایش قیمت همراه ETH استقبال شده پس انتظار برای دیدن آتش بازی نوعی اکتبر می آیند.
تصویر ویژه نیت Shutterstock.
فیلترشکن پرسرعت
برنامه وب – اگر رجیسترهای غیرقابل اعتماد از طرف سرور کنار گذاشته شوند، اگر از طریق document.createTextNode به داخل سند وارد شوند؟
Webapp چت. مشتریان (یعنی مرورگرهای وب) پیام هایی را به سرور ارسال می کنند که سرور آن را به تمام مشتریان مرتبط متصل می کند. کد مشتری به نظر می رسد مانند:
اجازه دهید p = document.createTextNode ('p')
p.appendChild (document.createTextNode (پیام))
document.getElementById ('chatbox') appendChild (p)
از کجا پیام رشته دریافت شده از سرور است
مشکل در اینجا این است که به شدت توصیه میشود که داده های غیر قابل اطمینان سرور را ضدعفونی کنید تا قبل از قرار دادن آن درون سند با حذف شخصیت های خاص <، > ، ، و غیره) و جایگزینی آنها با نهادهای HTML مناسب است. به من گفته شد کد بالا برای XSS آسیب پذیر است اگر این ، ، ، ، ، ، کاراکترهای ویژه verbatim را نمایش می دهد و را نمی بینند و آنها را به صورت HTML می بینند. بنابراین ضدعفونی کردن سرور، تغییر کاراکترهای فوق به موجودات HTML باعث خواهد شد که مشتریان، نه شخصیت هایی که انسان ها قرار دارند
به این ترتیب من اعتقاد ندارم که چنین اعتبار لازم است و درست نیست زمانی که document.createTextNode () استفاده می شود.
با این حال، به من گفته شد که همیشه لازم است برای رفع نواقص سرور رشته ها. به من گفته شد که فرار از این صفات سرور همیشه ضروری است. در این صورت، من قصد داشتم از استفاده از document.createTextNode () استفاده نکنم و به جای آن از innerHTML استفاده کنم؟ این به نظر من عجیب و غریب به نظر می رسد زیرا من همیشه فکر innerHTML را به عنوان یکی از حداقل ویژگی های امنیتی جاوا اسکریپت می دانم که نباید با محتوای نامعتبر استفاده شود.
