منتشرشده در key-management، network، web-application، فیلتر شکن

tl / dr: اگر پول درگیر است ، به روشی برای تأیید صحت وب خود نیاز دارید
  معاملات کلیدهای امنیتی شما احتمالاً خوب هستند ،
  اگرچه در پایان ، تصمیم گیری تجاری برای شماست.

انتهایی وب اختصاصی وب

نگرانی های شما درباره یک نقطه پایان وب خصوصی خصوصی کاملاً معتبر است. در حقیقت ، این یکی از بزرگترین خطرناک برای نقاط انتهایی در وب است – شما باید تأیید کنید که شخصی که از نقطه انتهایی شما تماس می گیرد ، شخصی است که قرار است از آن استفاده کند و نه یک مهاجم. این امر به خصوص برای سفارش آنلاین یا هر چیزی که هزینه دارد بسیار مهم است. برخی از سیستم با برقراری تماس API ، در آنجا درخواستی را كه برای تأیید به فرستنده در نظر گرفته شده ارسال می كنید ، تأیید می كند (با عنوان دستی سه گانه) ، و بعضی دیگر آن را با امضاهای رمزنگاری انجام می دهند. احتمالاً روشهای بیشتری برای تأیید آن وجود دارد ، اما تأیید صحت بسیار مهم است.

بدیهی است که شما می توانید و باید نقطه انتهایی وب خود را مخفی نگه دارید ، اما این بیشتر شبیه به یک مرحله "امنیت از طریق گمنامی" است ، و یک مسئله فوق العاده امن نیست. یا از این گذشته ، هر توسعه دهنده ای که به پایه کد دسترسی داشته باشد ، قادر خواهد بود دریابد که نقطه پایانی Webhook چیست. همچنین اگر کد برنامه شما برای یک مهاجم عمومی یا در دسترس باشد ، یا اگر یکی از توسعه دهندگان شخصی شما به یک مهاجم تبدیل شود ، دچار مشکل می شوید. از آنجا که نیمی از همه نقص داده ها از داخل شروع می شود ، این یک نگرانی بسیار واقعی است.

متأسفانه هیچ کاری وجود ندارد که بتوانید انجام دهید مگر اینکه ارائه دهنده گزینه هایی را در اختیار شما قرار دهد. من آنها را به سختی فشار می آورم تا ببینم که آیا گزینه دیگری برای تأیید وب سایت وجود دارد.

کلید خرید به بیرون درز کرد

کلیدهای درزگیر خطرناک هستند اما قابل رفع هستند. شما می خواهید مطمئن شوید که کلیدهای شما به اندازه کافی طولانی هستند که نمی توانند به راحتی اجباری شوند. این مضراتی دارد که تایپ آنها در یک برنامه دشوار است ، بنابراین شما ممکن است سعی کنید راه حلی را پیدا کنید که کاربران بتوانند بدون نیاز به کلید ، وارد برنامه شوند.
آن را تایپ کنید (کدهای QR ، پیوندها ، و غیره …).

البته ایمیل همیشه امن ترین کانال نیست ، اما برای اکثر مشاغل "به اندازه کافی ایمن" است. اختراع مکانیزم تحویل جدید برای تحویل کد ایمن تر احتمالاً مشکلات بیشتری را نسبت به حل آن ایجاد می کند.

خوشبختانه بدترین حالت سناریوی یک برنامه کاربردی درز شده احتمالاً نیز بد نباشد. از این گذشته ، شخصی در واقع این کلید را خریداری کرده است ، بنابراین اگر یک مهاجم موفق به رهگیری و استفاده از یک کلید یکبار مصرف شود ، خریدار اصلی احتمالاً با شما در تماس خواهد بود که می پرسید: "چرا کلید من کار نمی کند؟". با فرض اینکه آنها می توانند اثبات خرید را ارائه دهند ، برای شما کافی خواهد بود که دسترسی به برنامه فعلی را برای کاربر فعلی لغو کرده و به کاربر جدید اعطا کنید.

این باعث می شود تا فردی خطرناک باشد که ممکن است از تکنیک های مهندسی اجتماعی استفاده کند. کارمندان خود را برای به اشتراک گذاشتن یک شخص دیگر ، و همچنین خطر از دست دادن مشتری. با این حال ، از آنجا که هزینه حاشیه ای برای شما کم به نظر می رسد (یعنی دسترسی به سیستم به دیگران امکان دسترسی به این وسیله را نسبتاً ارزان می دهد) ، از دست دادن آن حتی اگر کسی گهگاه با اشتراک رایگان به پایان برسد ، کم است.

یک رامبل ، اما مهمترین بخش فقط روند تفکر است. امنیت باینری نیست. امن / ناامن نیست. فقط همیشه "به اندازه کافی ایمن" است. هرچه تلاش بیشتری برای اقدامات امنیتی انجام دهید احتمال ایجاد مشکلی برای مشتریان مشروع خود دارد و در بعضی مواقع متوقف کردن اضافه کردن لایه های امنیتی مقرون به صرفه تر است و می پذیرید که یک مهاجم ممکن است گهگاهی موفق به سرقت یک اشتراک شود یا دو در نتیجه ترفند این نیست که همه چیز را ایمن سازد ، بلکه به اندازه کافی ایمن باشد.

تگ ها: