คำถามติดแท็ก security

การป้องกันระบบจากการเข้าถึงการปรับเปลี่ยนการหยุดชะงักหรือการทำลายโดยไม่ได้รับอนุญาต

1
โดเมนย่อยที่โฮสต์ภายนอกคือความเสี่ยงด้านความปลอดภัยหรือไม่
บริษัท ที่ฉันพัฒนาเว็บไซต์เพื่อต้องการรักษาโดเมนปัจจุบันของพวกเขาซึ่งเป็นสิ่งที่คล้ายกับ company.parentcompany.com เนื่องจากเราต้องการใช้ CMS อื่น บริษัท แม่ปฏิเสธที่จะสนับสนุนหรือแม้แต่โฮสต์และขอให้เราชำระเงินสำหรับการโฮสต์ของบุคคลที่สาม ตอนนี้เราได้ทำเช่นนั้นแล้วพวกเขาจะไม่สร้างระเบียน A สำหรับโดเมนย่อยที่ชี้ไปที่เซิร์ฟเวอร์ใหม่โดยระบุว่ามีความเสี่ยงด้านความปลอดภัย ฉันไม่ได้เป็นผู้เชี่ยวชาญ DNS ไม่ว่าจะด้วยวิธีใด แต่ดูเหมือนว่าจะเป็น BS ทั้งหมดสำหรับฉัน ฉันเคยเห็นสิ่งนี้พูดคุยหลายครั้ง แต่ฉันไม่เคยเห็นใครยกประเด็นด้านความปลอดภัย ฉันสามารถต่อสู้สิ่งนี้หรือว่าพวกเขาถูกต้องจริงเหรอ?

3
มันเพียงพอหรือไม่ที่จะรักษาความปลอดภัยหน้าสถานะคำสั่งซื้อโดยใช้ URL แบบสุ่ม?
หลังจากลูกค้า (นิติบุคคล) ซื้อสินค้าบางอย่างในร้านค้าออนไลน์ของเราเราส่งอีเมลพร้อมภาพรวมสิ่งที่เขาซื้อให้เขา เราต้องการแจ้งให้ลูกค้าของเราทราบเกี่ยวกับการชำระเงินที่ได้รับการติดตามแพ็คเก็ตและอื่น ๆ ฉันจะแก้ปัญหานี้โดยการกำหนดรหัสสุ่มแบบสุ่มและเพิ่มลิงก์ไปยังจดหมายแต่ละฉบับ ลิงก์อาจเป็นดังนี้: http://shop.foo.bar/order/rwklvc46g9wt7kvy09f1 คุณจะใช้มาตรการเพิ่มเติมเพื่อปกป้องข้อมูลหรือไม่ หรือเลือกทางออกที่แตกต่างอย่างสิ้นเชิง? ข้อดี: ไม่มีการอัพเดทสถานะที่น่ารำคาญต่อจดหมาย (โดยเฉพาะอย่างยิ่งหากมีการอัพเดทบ่อยครั้ง) แหล่งข้อมูลเดียว (ไม่ล้าสมัย) ใช้ร่วมกันได้ (เช่นเจ้านายหรือเพื่อนร่วมงานของเขา) ข้อเสีย: ข้อมูลส่วนตัวที่เปิดเผยบนเว็บไซต์ที่สาธารณชนเข้าถึงได้ (เช่นหมายเลขโทรศัพท์รายละเอียดการชำระเงิน)
11 security  privacy 

2
ส่วนหัว 'เซิร์ฟเวอร์' รองรับวัตถุประสงค์ใด ๆ
ตัวอย่างเช่นเมื่อฉันถ่ายโอนส่วนหัวการตอบกลับสำหรับเซิร์ฟเวอร์ของฉันฉันจะได้รับ: Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g มันใช้เพื่ออะไร มันเสี่ยงด้านความปลอดภัยหรือไม่

4
SSL มีความสำคัญต่อเว็บไซต์ส่วนใหญ่หรือไม่
ฉันค่อนข้างหวาดระแวงเกี่ยวกับการเรียนรู้ที่จะ "รักษาความปลอดภัยที่ถูกต้อง" สำหรับเว็บไซต์นี้ฉันกำลังสร้าง (ไซต์ที่ไม่ได้ทำเรื่องไม่สำคัญครั้งแรกที่ฉันทำ) และฉันสังเกตเห็นสิ่งที่รบกวนฉัน: SSL ฉันได้อ่านเธรดการรักษาความปลอดภัยมากมายที่นี่บน StackOverflow และที่อื่น ๆ ที่มีความยาวเกี่ยวกับการสร้างรหัสเซสชันหลังจากการใช้งาน n ครั้งและวิธีการที่รหัสผ่านของคุณจะต้องถูกใส่เกลือแฮชและไม่เคยเก็บไว้ในข้อความธรรมดา ฉันได้อ่านมากมายเกี่ยวกับวิธีการตรวจสอบเมื่อเซสชันถูกไฮแจ็กโดยการติดตามที่อยู่ IP ตัวแทนผู้ใช้และโดยใช้คุกกี้การติดตาม สิ่งที่ฉันไม่เข้าใจคือสิ่งใดในเรื่องนี้เมื่อเว็บไซต์ล็อกอินคุณผ่าน HTTP POST ปกติและส่งรหัสผ่านของคุณผ่านสายเป็นข้อความธรรมดา? ฉันเข้าใจว่าวิธีการอื่น ๆ ที่ฉันระบุไว้นั้นเป็นสิ่งจำเป็นเพื่อลดการเปิดเผยโดยรวมของคุณและอาจมีบางเว็บไซต์ที่ไม่ต้องการความปลอดภัยขนาดนั้นอีกต่อไป แต่ฉันเดาว่าสิ่งที่ฉันถามคือ: เมื่อไรที่จะไม่ยุ่งกับ SSL? เว็บไซต์อย่าง Gmail ธนาคารของคุณและ LinkedIn ฉันเห็นว่ามีเหตุผลที่จะใช้ SSL แต่สิ่งที่ทำให้มันเป็นไรที่ไซต์เช่น Facebook และ reddit ไม่ต้องกังวล (นรก, PlentyOfFish ยังเก็บรหัสผ่านของคุณเป็นข้อความธรรมดาและแม้กระทั่งอีเมล ถึงคุณทุกสัปดาห์เพื่อเป็นการเตือน!?!)? ฉันควรกังวลเกี่ยวกับการตั้งค่า SSL อย่างไร (โดยเฉพาะอย่างยิ่งตั้งแต่ฉันเริ่มต้นด้วยโฮสต์ที่ใช้ร่วมกันและฉันเริ่มถูกแล้ว) เว็บไซต์ของฉันจะไม่เก็บข้อมูลส่วนบุคคลใด ๆ โดยเฉพาะหากสิ่งนั้นช่วยได้ หากไซต์ประสบความสำเร็จฉันจะพิจารณาจ่ายเงินพิเศษเพื่อความปลอดภัยที่เพิ่มขึ้นอย่างจริงจัง

8
วิธีค้นหาความแข็งแกร่งของรหัสผ่าน Wordpress (เก็บไว้แล้ว)
ฉันต้องรับผิดชอบต่อความปลอดภัยของเซิร์ฟเวอร์โฮสต์ที่ใช้ร่วมกันจำนวนมาก ส่วนใหญ่มีเว็บไซต์ WordPress เซิร์ฟเวอร์แต่ละเครื่องมีเว็บไซต์ WordPress อย่างน้อย 500 เว็บไซต์ ใน expereince ของฉันปัญหาเกี่ยวกับ WordPress เริ่มต้นด้วยรหัสผ่านที่อ่อนแอ รหัสผ่านผู้ดูแลระบบของเว็บไซต์ส่วนใหญ่นั้นอ่อนแอมากและการใช้เว็บไซต์รหัสผ่านที่อ่อนแอนั้นถูกนำไปใช้และใช้ในกิจกรรมที่เป็นอันตรายต่างๆ ตอนนี้แผนการของฉันคือค้นหารหัสผ่านที่อ่อนแอของเว็บไซต์ WordPress และเปลี่ยนรหัสผ่านของผู้ดูแลระบบเป็นรหัสผ่านที่คาดเดายากอื่น ๆ เพื่อให้ WordPress สามารถรักษาความปลอดภัยและเซิร์ฟเวอร์ของฉันจะไม่เป็นปัญหา วิธีการทราบถึงความแข็งแกร่งของรหัสผ่าน WordPress ที่เก็บไว้คืออะไร?

2
คำถามสแปมฟอรั่ม ทำไมแฮกเกอร์ชาวจีนโพสต์ภาพเล็ก ๆ ในฟอรัม
ฟอรัมของฉันถูกโจมตีโดยสแปมเมอร์ด้วย Chinese IP's การตอบกลับถูกสร้างขึ้นสำหรับหัวข้อการสนทนาตอบสั้น ๆ เสมอพร้อมกับการตอบกลับรูปภาพโดยใช้รหัสฟอรัมซึ่งจากนั้นฟอรัมจะถูกแก้ไขไปยังแท็กรูปภาพ HTML (ไม่มีแท็กจุดยึด) ภาพที่สวยงาม [img] http://www.coupon-domain-goes-here.com/avatar2.jpg [/ img] คำตอบนั้นถูกสร้างขึ้นโดยมนุษย์ที่ไม่ได้บอทเพราะมันเกี่ยวข้องกับการอภิปรายเล็กน้อย ภาพไม่แสดงสมาชิกฟอรัมทั่วไปจึงไม่ทราบว่านี่เป็นสแปม เหตุผลที่พวกเขาไม่แสดงเป็นเพราะภาพส่งคืนรหัสตอบสนอง 302 และเปลี่ยนเส้นทางไปยัง URl เช่นนี้ http: // www.coupon-domain-go-here .com / avatar.php? u = 2 ซึ่งเปลี่ยนเส้นทางด้วย 302 ไปยังรูปภาพอื่นบนโดเมนเดียวกันซึ่งเรียกอีกอย่างว่า avatar.gif http: // www.coupon-domain-go-here .com / images / avatar.gif คำถามของฉันคือทำไมพวกเขาทำเช่นนี้ มีประโยชน์ SEO หรือไม่ ไม่มีการสร้างลิงค์ เป็นเพียงรูปภาพดังนั้น URl ที่อยู่ตรงกลางซึ่งเป็นไฟล์ PHP …

1
ทำไม chmod 777 ไม่ปลอดภัย?
ไฟล์ chmod 777 เปลี่ยนการอนุญาตของไฟล์ไฟล์เป็นอ่านเขียนและดำเนินการทั้งหมด ตกลงดังนั้นไฟล์สามารถจัดการได้ในทุก ๆ ทางโดยสคริปต์ใด ๆ บนเซิร์ฟเวอร์ แต่ทำไมถึงไม่ปลอดภัย? หากคุณมีสคริปต์อยู่ที่นั่นแล้วกว่าคนที่อัปโหลดสคริปต์จะสามารถเข้าถึงเซิร์ฟเวอร์ของคุณได้ ... สิ่งที่จับได้แล้วที่นี่

3
wwws.site.com คืออะไร
ฉันรู้เกี่ยวกับ https สำหรับการรักษาความปลอดภัยหน้าสำคัญเช่นการเข้าสู่ระบบและเช่น แต่ทำไมบางคนถึงสร้างโดเมนย่อยแยกเช่น wwws ด้วยล่ะ ตัวอย่างเช่น https://wwws.site.com/login

1
Google จัดการเพื่อรวบรวมข้อมูลหน้าเว็บ 403 ของฉันได้อย่างไร
ฉันมีไฟล์ส่วนตัวสองไฟล์ในไดเรกทอรีในโฟลเดอร์โรงเรียน คุณจะเห็นว่าไฟล์มีอยู่โดยไปที่ myschool.edu/myusername/myfolder แต่พยายามเข้าถึงไฟล์ด้วยตัวเองผ่านทาง myschool.edu/myusername/myfolder/myfile.html จะส่งกลับข้อผิดพลาด 403 และ Google ก็จัดการคว้าเนื้อหาของไฟล์ส่วนตัวเหล่านั้นและเก็บไว้ในแคชได้! เป็นไปได้อย่างไร? [ฉันได้ลบไฟล์เหล่านั้นไปแล้วดังนั้นฉันแค่อยากรู้ว่า Google จัดการกับสิ่งนี้ได้อย่างไร]

5
มีการตรวจสอบความสอดคล้องของ PCI หรือไม่
หลังจากอ่านคำแนะนำที่มีคำพูดอย่างมากเกี่ยวกับการจัดเก็บรายละเอียดบัตรเครดิตที่นี่ฉันต้องสงสัย - จะเกิดอะไรขึ้นหาก บริษัท ที่ไม่ได้ใช้ PCI เริ่มเก็บรายละเอียดบัตรเครดิต (ฉันแน่ใจ 100% ว่ามี บริษัท อยู่ที่นั่นด้วย) ทำสิ่งนี้) ตัวอย่างเช่นสมมติว่าฉันไม่ได้ถามคำถามของฉันที่นี่และฉันปลอมแปลงไปข้างหน้าและเพิ่งตัดสินใจเก็บรายละเอียดบัตรเครดิตลูกค้าและใช้การเข้ารหัส AES ขั้นพื้นฐานบางอย่าง ตอนนี้คืออะไร หากเราไม่ถูกแฮ็กใครจะถามบ้าง Visa หรือผู้ค้าของเราจะต้องการตรวจสอบเซิร์ฟเวอร์ของเราหรือไม่ อะไรคือผลของการไม่ใช้โครงสร้างพื้นฐานที่เป็นไปตามมาตรฐาน PCI? คำเตือน: ฉันได้รับคำใบ้ - นี่เป็นความคิดที่ไม่ดีและเราจะไม่ทำ แต่ฉันอยากรู้

2
การแจ้งเตือนของ Google Search Console: เนื้อหาที่เป็นอันตราย - การดาวน์โหลดที่ผิดปกติ
วันนี้ Google Search Console แสดงข้อความแจ้งเตือนฉันบนเว็บไซต์ของฉัน คลิกที่ลิงค์ "ตรวจพบมัลแวร์?" เปิดหน้าพร้อมรายละเอียด: แต่รายการ"URL ตัวอย่าง" นั้นว่างเปล่าและ "ดาวน์โหลดตัวอย่างทั้งหมด" ดาวน์โหลดเอกสารเปล่า เกิดอะไรขึ้น? ดูเหมือนจะเป็นบวกที่ผิดพลาด จากเอกสาร : หากGoogle Safe Browsingไม่เคยเห็นไบนารีมาก่อน Chrome อาจเตือนว่ามีการดาวน์โหลดผิดปกติและอาจเป็นอันตรายได้ ในกรณีเหล่านี้คำเตือนจะถูกยกขึ้นโดยอัตโนมัติหาก Google Safe Browsing ตรวจสอบว่ามีความอ่อนโยน หากไซต์ของคุณแสดงคำเตือนการดาวน์โหลดที่ผิดปกติคุณสามารถ ขอให้มีการตรวจสอบใน Search Console ในเว็บไซต์ของฉันผู้ใช้สามารถดาวน์โหลดซอฟต์แวร์บางตัว (สร้างโดยฉัน) เมื่อวันก่อนฉันได้ปรับใช้รีลีสใหม่ ฉันได้ตรวจสอบกับ Antivirus ทั้งหมด (ที่ได้รับความนิยมมากที่สุด) และปลอดภัยแล้ว ซอฟต์แวร์ทั้งหมดของฉันได้รับการลงนามพร้อมกับใบรับรองความน่าเชื่อถือ คำถามคือฉันจะแก้ไขปัญหานี้ได้อย่างไร UPDATE หลังจากการตรวจสอบปัญหาจะหายไป / แก้ไข

4
ฉันต้องการใบรับรองไวด์การ์ด SSL เพื่อรวมไว้ในรายการโหลด HSTS ล่วงหน้าหรือไม่
ฉันต้องการที่จะส่งเว็บไซต์ส่วนตัวของฉันเข้าไปในรายชื่อพรีโหลด Chrome HSTS เว็บไซต์ที่มีพูดว่า: เพื่อที่จะรวมอยู่ในรายการโหลด HSTS ไซต์ของคุณจะต้อง: มีใบรับรองที่ถูกต้อง เปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ทั้งหมดไปยัง HTTPS - เช่นเป็น HTTPS เท่านั้น แสดงโดเมนย่อยทั้งหมดผ่าน HTTPS แสดงส่วนหัว HSTS ในโดเมนฐาน: การหมดอายุต้องเป็นอย่างน้อยสิบแปดสัปดาห์ (1,0886400 วินาที) ต้องระบุโทเค็น includeSubdomains ต้องระบุโทเค็นพรีโหลด หากคุณให้บริการการเปลี่ยนเส้นทางการเปลี่ยนเส้นทางนั้นจะต้องมีส่วนหัว HSTS ไม่ใช่หน้าที่เปลี่ยนเส้นทางไป นี่หมายความว่าใบรับรองของฉันจะต้องถูกต้องสำหรับโดเมนย่อยทั้งหมดหรือเฉพาะที่พวกเขามีอยู่ / ให้บริการผ่าน HTTPS (ฉันมีใบรับรองสำหรับsub.example.comแต่ไม่ใช่รูท) ฉันสามารถใช้กับรายการพรีโหลด HSTS ที่มีโดเมนย่อยได้sub.example.comหรือไม่
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.