คำถามติดแท็ก security

ฉันต้องจัดเก็บหมายเลขบัตรเครดิตสำหรับการเรียกเก็บเงินเป็นประจำผ่านผู้ขายบุคคลที่สามของเรา มีมาตรฐานใดบ้างที่ฉันต้องยึดถือในการจัดเก็บรายละเอียด? เรารับบัตรเครดิตมาหลายปีแล้ว แต่เราก็ทิ้งรายละเอียดของพวกเขาทันทีที่ทำเสร็จ ลูกค้าของเราร้องขอให้เราจัดเก็บรายละเอียดเพื่อไม่ต้องชำระค่าสมัครด้วยตนเองในแต่ละเดือน การย้ายไปยัง PayPal เพื่อใช้ประโยชน์จากการสมัครสมาชิกของพวกเขาไม่ใช่ตัวเลือก เราต้องเก็บพวกมันและฉันต้องแน่ใจว่าที่เก็บปลอดภัย! เราใช้ MSSQL 2005 สำหรับข้อมูลของเราและทุกอย่างเป็น SSL'd แล้ว

60 security  creditcard  storage 

เป็นเวลาหลายปีที่ฉันเห็นว่า Google, Facebook และอื่น ๆ เริ่มให้บริการ (และเปลี่ยนเส้นทาง) เนื้อหาผ่าน HTTPS การแสดงเว็บไซต์ที่ให้รหัสผ่านใน HTTP ที่ไม่ปลอดภัยนั้นผิดแม้กระทั่งในปี 1999 แต่ก็ถือว่ายอมรับได้แม้ในปี 2010 แต่ทุกวันนี้แม้แต่หน้าสาธารณะ (เช่นข้อความค้นหาจาก Bing / Google) ให้บริการผ่าน HTTPS เหตุการณ์ใดที่ทำให้เกิดการย้ายถิ่นจำนวนมากไปยัง HTTPS เรื่องอื้อฉาว Wikileaks, การบังคับใช้กฎหมายของสหรัฐฯ / สหภาพยุโรป, ลดค่าใช้จ่ายของการจับมือ SSL / TSL ด้วยการลดค่าใช้จ่ายโดยทั่วไปของเวลาเซิร์ฟเวอร์, การเติบโตในระดับวัฒนธรรมไอทีในการจัดการ? แม้แต่ความพยายามของสาธารณชนเช่นhttps://letsencrypt.org/ก็เริ่มเมื่อไม่นานมานี้ ... @briantistในขณะที่ฉันยังดูแลไซต์งานอดิเรกและสนใจโซลูชัน SSL / TLS ราคาถูก / ไม่ต้องพยายาม สำหรับ VPS (ซึ่งเริ่มจาก 5 $ / …

40 https  security 

มีเครื่องมือที่ดี (เดสก์ท็อปหรือออนไลน์) ที่อนุญาตให้คุณตรวจสอบว่าเว็บไซต์ของคุณมีช่องโหว่ทั่วไปหรือไม่ (เช่น SQL Injection, XSS)

35 security 

หลังจากซื้อใบรับรอง SSL หลายโดเมนฉันได้เริ่มทดสอบกับเว็บเซิร์ฟเวอร์ Nginx (ทำตามเอกสารในหน้า SSL wikiของพวกเขา) ทุกอย่างทำงานได้ดีและฉันได้รับสัญลักษณ์รูปกุญแจสีเขียวในแถบ URL แต่ ... ทุกครั้งที่ฉันรีสตาร์ท Nginx ฉันถูกถามคำถามต่อไปนี้ (สำหรับเซิร์ฟเวอร์แต่ละครั้งเช่น5 ครั้ง ): การเริ่มต้น nginx: ป้อนวลีรหัสผ่าน PEM: นี่เป็นเรื่องปกติและคนอื่น ๆ อีกมากมายทำอะไรบ้าง? หรือฉันสามารถกำหนดค่าเพื่อให้จำรหัสผ่านได้? โดยเฉพาะปัญหานี้เกิดขึ้นเมื่อรีบูตเครื่องเนื่องจากเว็บเซิร์ฟเวอร์จะไม่เริ่มจนกว่าจะป้อนวลี PEM Pass (หมายถึงเว็บไซต์หยุดทำงานจนกว่าจะมีการโต้ตอบกับมนุษย์)

28 security  apache  https  nginx 

ฉันเริ่มเห็นส่วนใหญ่ของเว็บไซต์ที่เริ่มใช้ SSL เป็นวิธีปฏิบัติมาตรฐานสำหรับการดูเว็บไซต์อย่างปลอดภัยในขณะนี้ด้วยการเปิดเผยของ Edward Snowden เกี่ยวกับการเฝ้าระวัง NSA ที่เกิดขึ้น เราควรทำให้เป็นมาตรฐานเว็บหรือไม่ที่จะทำให้ทุกเว็บไซต์ใช้ SSL เพื่อความปลอดภัยการดูการชำระเงินและทุกที่ ฉันมีบล็อกส่วนตัวที่เรียบง่ายและฉันมีคนบอกว่าฉันต้องใช้เพราะฉันแสดงความคิดเห็นข้อกังวลและแนวคิดเกี่ยวกับเรื่องของ NSA และพวกเขาบอกว่าพวกเขาเริ่มรู้สึกปลอดภัยน้อยลงหากไม่มี HTTPS ...

22 security  https 

ฉันต้องการให้แน่ใจว่าผู้เยี่ยมชมเว็บไซต์ของฉันมีประสบการณ์ที่ดีที่สุดเท่าที่จะเป็นไปได้ดังนั้นฉันต้องการให้พวกเขาสามารถใช้ LastPass และผู้จัดการรหัสผ่านอื่น ๆ ได้ มีวิธีใดที่จะระบุว่าผู้เยี่ยมชมของฉันใช้ปลั๊กอินเหล่านี้หรือไม่?

21 security  forms  ux 

ปัญหาที่เข้าใจง่าย ฉันต้องการซื้อโดเมนและทำให้เว็บไซต์ที่มีการรักษาความปลอดภัยอย่างเต็มที่กับDNSSEC ฉันต้องการตรวจสอบให้แน่ใจว่าเบราว์เซอร์ SSL ที่ถูกต้องเท่านั้นที่สามารถตรวจสอบความถูกต้องและใบรับรอง rogue SSL ทั้งหมดหรือใบรับรองสำหรับชื่อที่ไม่ผ่านการรับรองจะถูกปฏิเสธ ฉันจะซื้อโดเมนได้ที่ไหน ฉันควรซื้อใบรับรองหรือไม่ (หรือฉันควรใช้ใบรับรองที่ลงชื่อด้วยตนเองกับ DNSSEC แทน CAs) ฉันจะโฮสต์ DNS ได้ที่ไหน ผู้ให้บริการใดที่ทำให้กระบวนการทั้งหมดสะดวกที่สุดราคาไม่แพงที่สุดสมบูรณ์ที่สุดเป็นมืออาชีพมากที่สุดแข็งแกร่งที่สุดและปลอดภัยที่สุด พื้นหลัง ฉันได้ยินเกี่ยวกับความไม่มั่นคงของ DNSมาหลายปีแล้ว ผมเคยดูทั้งหมดของการเจรจาโดยแดน Kaminskyและอื่น ๆ จากการหาประโยชน์ DNS เพื่ออนาคตของการรักษาความปลอดภัย DNS แผง ฉันรู้ว่าการใช้ DNS ที่ไม่มีความปลอดภัยนั้นเป็นหายนะที่เกิดขึ้น ฉันติดตามการพัฒนามาตรฐาน DNSSEC ฉันมีการเฉลิมฉลองในพิธีลงนามสำคัญ ในขณะที่ฉันอ่านเกี่ยวกับพัน SSL Certs ออกให้แก่ไม่มีเงื่อนไขและรายชื่อและRogue SSL Certs ออกสำหรับซีไอเอ MI6, มอสสาดและเรื่องราวอื่น ๆ อีกมากมายเช่นนั้นแสดงให้เห็นปัญหาเกี่ยวกับการดำเนินงานในปัจจุบันของเว็บไซต์ที่มีความปลอดภัยด้วย SSL ที่สามารถแก้ไขได้โดยการ DNSSEC (ดู: …

17 dns  security  domain-registration  security-certificate  domain-registrar 

หนึ่งสัปดาห์ก่อน Google ส่งอีเมลให้ฉันเพื่อใช้ HTTPS ถ้าฉันจะไม่ถ่ายโอน HTTP ไปยัง HTTPS มันจะแสดงการเชื่อมต่อของฉันที่ไม่ปลอดภัยแก่ผู้เยี่ยมชมเว็บไซต์ของฉันทั้งหมดที่จะพยายามป้อนข้อความในเว็บไซต์ของฉัน หากไม่ใช้ SSL จะมีวิธีอื่นอีกไหมในการทำให้การเชื่อมต่อของฉันปลอดภัย เนื่องจากเกี่ยวข้องกับกระบวนการที่มีค่าใช้จ่ายสูงในการใช้ SSL ใน URL ของเว็บฉันกำลังค้นหาตัวเลือกอื่นแทน

16 security  google-chrome  forms 

ขั้นตอนพื้นฐานในการรักษาความปลอดภัยการติดตั้ง VPS ที่ฉันวางแผนจะติดตั้ง Webmin บนเพื่อโฮสต์บล็อกและโครงการส่วนบุคคลของฉันคืออะไร

16 security  server  vps 

มีบริการจำนวนมากที่จะสแกนเว็บไซต์เพื่อvulnerabilitiesให้สามารถแสดงtrustmarkภาพได้หากเว็บไซต์ผ่านการทดสอบ สิ่งนี้ถูกกล่าวหาว่าเป็นการเพิ่มระดับของความไว้วางใจที่ลูกค้าคาดหวังที่มีต่อเว็บไซต์และทำให้พวกเขามีแนวโน้มที่จะทำการซื้อให้เสร็จสมบูรณ์ McAfee อ้างว่ามีการศึกษาซึ่งแสดงยอดขายที่เพิ่มขึ้นอย่างมีนัยสำคัญ ฉันควรใช้คำพูดของพวกเขาสำหรับมัน? ฉันควรคาดหวังว่าจะมีการเพิ่มขึ้นใด ๆ ถ้ามี? บริการประเภทนี้คุ้มค่ากับราคาที่เรียกเก็บหรือไม่

16 security  ecommerce 

หากฉันต้องการการเข้ารหัส HTTPS / SSL บนเว็บไซต์ของฉันมันเป็นเรื่องสำคัญที่ฉันจะได้รับใบรับรองของฉันหรือไม่ ผู้ให้บริการใบรับรอง SSL บางรายดีกว่าผู้อื่นหรือไม่ ถ้าเป็นเช่นนั้นทำไม

16 https  security-certificate  security 

ฉันกำลังทำงานบนเว็บไซต์และฉันได้ติดตั้งใบรับรอง SSL ของฉันเรียบร้อยแล้ว ตัวตรวจสอบ GeoTrust SSL / TLS ยืนยันว่าห่วงโซ่ใบรับรอง (รวมถึง CA) ได้รับการติดตั้งอย่างเหมาะสม ทุกอย่างดูดีบน Chrome แต่กุญแจของฉันไม่เป็นสีเขียวและใน Firefox มันระบุว่าเว็บไซต์นั้นไม่ปลอดภัยเพราะมีองค์ประกอบที่ไม่ได้เข้ารหัสไว้ ฉันใช้บริการออนไลน์เพื่อตรวจสอบสาเหตุที่เป็นและปรากฎว่าภาพของฉันไม่ถือว่าเป็น URL ที่ปลอดภัย ฉันจะจัดการกับสถานการณ์นี้ได้อย่างไรฉันจะฝังรูปภาพในเว็บไซต์ของฉันอย่างปลอดภัยได้อย่างไร

14 https  images  security 

ฉันติดตามเว็บไซต์จำนวนมากใน Google Analytics เมื่อเร็ว ๆ นี้ฉันบังเอิญเพิ่มรหัสติดตามสำหรับไซต์ A ไปยังไซต์ B ซึ่งฉันสังเกตเห็นสองสามสัปดาห์ต่อมา จากนั้นเว็บไซต์หนึ่งไม่มีผู้เข้าชมสองสัปดาห์และเว็บไซต์อื่นมีปริมาณการเข้าชมมากเมื่อเทียบกับเว็บไซต์อื่น มันทำให้ข้อมูลการวิเคราะห์ของฉันสมบูรณ์สำหรับเว็บไซต์เพิ่มข้อมูลสำหรับไซต์อื่น สิ่งนี้ทำให้ฉันคิดว่าเนื่องจากง่ายต่อการดูแหล่งที่มาของไซต์และรหัส Google Analytics ของใครบางคนสามารถนำรหัสนั้นและเพิ่มไปยังเว็บไซต์ของตนเองและทำให้ข้อมูลการวิเคราะห์ของไซต์ของฉันยุ่งเหยิงไปหมด? เว็บไซต์ชื่อใหญ่ ๆ จำนวนมากใช้ Google Analytics ฉันสงสัยว่าทำไมสิ่งนี้ถึงไม่ได้รับการนึกถึงหรือถูกลดทอนลง จะไม่ยากเกินไปสำหรับ Google ที่จะตรวจสอบว่าโดเมนต้นทางตรงกับไซต์ที่มีความตั้งใจที่จะติดตามหรือไม่ ฉันจะลดสิ่งนี้ได้อย่างไร อัปเดต: ดังนั้นน่าเศร้าที่สิ่งนี้กลายเป็นวิธีใหม่ในการสแปมเว็บไซต์ ( http://www.analyticsedge.com/2014/12/removing-referral-spam-google-analytics/ ) และคำตอบด้านล่างมีความเกี่ยวข้องมากกว่าที่เคย ยังไม่ทราบว่าทำไมตัวกรองเริ่มต้นจึงไม่ถูกใช้เพื่อกรองการวิเคราะห์ยอดนิยมจากบอต

13 google-analytics  security 

เราเป็นเจ้าของเว็บไซต์ซึ่งผลการค้นหาของ Google เราพิจารณาแล้วว่ามีการเชื่อมโยงไปยังที่ไม่เหมาะสมหรือเพื่อวัตถุประสงค์ในการสแปมโดยแหล่งสุ่มอื่นอย่างสมบูรณ์ เมื่อเร็ว ๆ นี้พวกเขาลงทะเบียนโดเมนและกำลังชี้โดเมนนั้นไปยังเว็บไซต์ของเรา ดังนั้นโดเมนของพวกเขาจึงปรากฏในผลการค้นหาของ Google ในฐานะเว็บไซต์ของเรา เราจะป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ได้อย่างไร

13 security  seo  spam 

Cloudflareช่วยให้คุณสามารถให้บริการเว็บไซต์ของคุณผ่าน SSLโดยไม่ต้องซื้อและติดตั้งใบรับรองความปลอดภัยผลิตภัณฑ์ที่พวกเขาเรียกว่า“ความยืดหยุ่น SSL” (พวกเขาทำหน้าที่เป็นพร็อกซีและให้บริการไซต์ของคุณผ่าน SSL จากเซิร์ฟเวอร์ของพวกเขาในขณะที่การเชื่อมต่อจากเซิร์ฟเวอร์ของคุณไปยังพวกเขายังไม่ได้เข้ารหัส) พวกเขาขณะนี้มี SSL ยืดหยุ่นสำหรับฟรี ด้วยการประกาศของ Google ว่าHTTPS เป็นสัญญาณอันดับฉันกำลังพิจารณาเปลี่ยนไซต์หลายแห่งเป็น Cloudflare ซื้อบัญชี Pro และเปิดใช้ตัวเลือก“ ยืดหยุ่น SSL” เพราะดูเหมือนจะเป็นวิธีที่ง่ายที่สุดในการให้บริการหลายไซต์ผ่าน HTTPS โดยไม่ต้อง ต้องซื้อและจัดการใบรับรองหลายใบ มีข้อเสียใด ๆ กับ SSL ที่ยืดหยุ่นของ Cloudflare? ฉันรู้สึกสะดวกสบายที่ใช้ Cloudflare เป็นพร็อกซี่ - ฉันสนใจในสองปัจจัยมากขึ้น: ประสบการณ์สำหรับผู้ใช้ปลายทาง (เช่นผู้เข้าชมจะเห็นคำเตือนความปลอดภัยหรือไม่) ระดับความปลอดภัยที่เสนอ (เพียงพอสำหรับบล็อกง่ายๆ แต่ไม่ใช่ร้านค้าออนไลน์เพราะพวกเขาต้องการส่งข้อมูลบัตรเครดิตจากเซิร์ฟเวอร์ของพวกเขาให้กับคุณที่ไม่ได้เข้ารหัสหรือไม่)

12 seo  security  https  cloudflare