من سناریوی دنبال کردن را دارم و به دنبال یک راه حل مطمئن هستم. یک برنامه وب وجود دارد ، که در IIS میزبان آن است. اتصال بر روی TLS 1.2 برقرار شده است و رمزگذاری شده است. مراحل به این صورت است Client به سرور متصل می شود تا ssl مشتری نام کاربری و…
tls – استفاده از همان رمز عبور برای رمزگذاری و تأیید اعتبار سایر اقدامات
بزرگترین ضعف این طرح استفاده از "سنجاق ساده" است. یک سنجاق ساده صرف نظر از اینکه از KDF برای گسترش آن استفاده می کنید ، فقط به اندازه یک پین ساده محافظت می کند. اگر فقط پین های عددی 4 رقمی و مجاز را مجاز می کنید ، KDF شما فقط قادر به تولید 10…
تأیید اعتبار – من وب سایت های خروجی (HMAC) را امضا می کنم تا به کاربران اجازه دهند منبع آنها را تأیید کنند ، آیا باید پاسخ های خروجی را امضا کنم؟
برای اینکه کاربران api بتوانند صحت وب سایت های خروجی را تأیید کنند ، از یک مدل مشابه برای خنثی کردن استفاده می کنم: Timestamp و بدنه هم زمان ، HMAC با کلید پیش اشتراک شده ، اضافه کردن زمان سنج و HMAC هضم را به هدر دهید. گیرنده همین کار را انجام می دهد…
http – دور زدن اعتبار سنجی هدر
من اسکریپتی ساخته ام که می تواند برای سوءاستفاده از نادرست تنظیم CORS مورد استفاده قرار گیرد. اسکریپت خوب است اما اگر بخواهم با درخواست xhttp.setRequestHeader ("test_header" ، "test_value") یک سرصفحه اضافی برای درخواست ارسال کنم این برای اولین بار درخواست پیش پرواز (OPTIONS) را ارسال می کند که شامل [19659002] Access-Control-Request-Headers: header_name که سرور…
استفاده از کارتهای هوشمند به جای رمز عبور برای تأیید اعتبار در ویندوز
من رئیس گروه فناوری اطلاعات و توسعه در گروه کوچکی از علاقه مندان وقت خود را با اندکی توسعه سرگرمی می گذرانم. ما هنوز یک دفتر نداریم ، اما شاید در نظر داشته باشیم که تعدادی از اتاق های اداری کوچک را اجاره کنیم و یک مجموعه کوچک از سیستم را راه اندازی کنیم تا…