Ответы пользователя по тегу Информационная безопасность
  • Какой есть способ защиты от нарушителей в группе распределенных вычислений?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Подписывайте запросы своим открытым ключом, который содержится в программе.
    Если подпись невалидна - задача не выполнена.
    Давайте задачу трём клиентам и проверяйте, чтобы результат совпадал у всех трёх.
    Любое нарушение (невалидный ключ или хотя бы одно несовпадение) - снимайте задачу с этих трёх и отдавайте другим трём, не сообщая ничего на клиент (что были ошибки и т.д.).
    Ответ написан
  • Как защитить API сервиса платного контента?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Шифруйте отдаваемый контент через RSA между сервером и приложением. (SSL/не SSL - это мы сейчас не рассматриваем!)

    1. Формируйте УНИКАЛЬНЫЙ! контент/трафик для каждого пользователя и расшифровывайте доставленный контент исключительно в памяти приложения, непосредственно перед моментом отображения на экране!

    2. Используйте платёжные данные при шифровании данных на сервере.
    3. Меняйте ключ при каждом запросе на основе номера пакета текущей сессии, времени, случайного числа и т.д.
    4. Отдавайте контент порциями с разным шифрованием - prefetch/segmentation.
    5. Обновляйте протокол внутреннего шифрования хотя бы раз в 1-2 месяца.

    Нет 100%-ой защиты на клиенте, которая не позволила бы сохранять контент.
    За то - можно это усложнить до нереальных трудозатрат.
    Ответ написан
    Комментировать
  • Как реализовать такую проверку файлом?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    по файлу(сертификату например, для админов) + пароль свой после шифрования
    SSL+секъюрный URL для админов с логином и паролем: проверка по REQUEST_URI и/или параметры какие-нибудь. Этого будет достаточно, чтобы никто кроме админов уже не смог войти, т.к. получается двойной "ключ": URL+пароль и всё внутри SSL.
    Ответ написан
    Комментировать
  • SQL: Как реализовать модель пользователя с индивидуальными правами и в тоже время находясь в группе которая задает начальные права?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Заданные права более глубокого вложения, всегда заменяют действующие права текущего уровня (директории, группы/раздела и т.д.), если они перекрываются новыми.
    Иначе (если не перекрываются действующие и новые) - действуют права текущего уровня без изменений.

    Это делается через маски прав используя операцию merge - прямая замена битов маски доступа через последовательную проверку от верхнего уровня к нижнему (к текущему проверяемому) по всем встречающимся маскам.

    Для прав - всегда нужно использовать отдельную таблицу прав (ACL), а объекты для предоставления прав и сами права - уже задавать в связанных таблицах.

    Контроль доступа - должен быть централизованным и понятным!
    Ответ написан
    Комментировать
  • Где могут быть уязвимости (в коде сайта)?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    И еще на форме авторизации нет капчи - что грозит возможностью брутфорса.

    п.с. задание с одного ctf (не лукавлю), просто нужна помощь,совет в какую сторону искать.

    Антифрод: Шах и мат.
    Ответ написан
    Комментировать
  • Как разработать парольную политику для себя?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Хорошие и передовые сервисы имеют множество средств защиты учётной записи.

    Такими средствами - лучше НЕ пренебрегать и не отказываться от их использования!

    1. Проверяйте, что пароль уходит ТОЛЬКО в зашифрованном виде или через SSL!
    2. Пароль (любой и можно не менять) + E-MAIL + SMS + Google Authenticator + выставить фильтр по IP-адресу/подсети + OAuth/SSH-токены ещё бывают и т.д.

    А вообще - вопрос хороший: надо черкануть статью: "Учётка в сейфе"))

    UPD:
    Создадим функцию (формулу):
    Функция: логин, hash: sha1(домен+"соль"), текущая дата создания/смены пароля, алфавит всех возможных символов в пароле, требования для формирования пароля и своя "соль".
    На вход: только домен.
    Затем вычисляем hash и по hash'у - находим логин и после: вычисляем пароль.
    На выходе: получаем логин и готовый пароль

    Т.е., не зная домена и формулы - не узнать точного логина и пароля.
    А пароль - нигде не хранится.
    Ответ написан
    Комментировать
  • PIN код и безопасность данных приложения Android. Как правильно реализовать?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    1.
    СМС придет на это самое устройство
    Блокируйте SIM-карту и счёт - проблема решена
    2. Получение статуса SIM-карты: здесь
    3. Все важные операции подтверждаются через SMS или звонком оператора банка.
    4. Приложение при запуске может стереть клиентский токен (получаемый при первом входе от сервера) на основе любых факторов. А открытие данных - только с ним!
    5. Срок действия клиентского токена - ограничен.
    6. Приложение может отправить запрос по SMS в SMS-сервис службу банка для генерации нового PIN-кода, который должен будет прийти в SMS.
    7. Поведенческий фактор: лицо с фронталки (или полное его отсутствие), запуск приложения из новой геопозиции и т.д. -> тоже как и в п.3.

    Можно прикрутить NFC-модуль телефона вместе с картой бесконтактной оплаты)
    Если она не приложена к телефону - никакого пин-кода не запрашивается.
    Ответ написан
  • Как защитить компьютер с постоянным аптаймом?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    1. Документация командной строки VeraCrypt (надо было прочитать :) )
    2. Автоподключение к SFTP - сделать в автозагрузке с отслеживанием статуса через nncron
    3. Запуск монтирования тома из cmd-файла, который нужно будет каждый раз грузить при старте системы для монтирования диска с помощью psftp с удалённого SFTP сервера и с последующим исполнением скачанного CMD-файла.
    Ответ написан
    Комментировать
  • Какие best practices по защите API?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Есть 3 вида API:
    1. Публичные - доступные публично с известными параметрами при запросе.
    2. Приватные (авторизованное обращение) - доступные публично с известными параметрами при запросе, но с ключом(токеном по паролю) или сертификатом.
    3. Закрытые - проприетарные клиенты со своим закрытым протоколом обмена с серверным API.

    JS в браузере - это только 1.
    Если не 2 и не 3 - значит остаётся 1.

    Если МЕГА-тупо (для п.1): можно проверить длительность сессии в момент POST-запроса на сервер и, если длительность меньше времени самого быстрого заполнения формы человеком в ручном режиме, считать данные недостоверными.
    Ответ написан
    6 комментариев
  • Как происходит общение клиента и сервера?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Ответ написан
    Комментировать
  • Почему еще не кто не сделал саморазвивающейся вирус?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Почему еще не кто такое не написал?
    Назовите источник этой информации и докажите, что это действительно так.
    951e387ed6644e67b2761e94c10f800b.jpg
    Ответ написан
    Комментировать
  • Как дать доступ к серверу по MAC-адресу?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Через iptables:
    iptables -t nat -A PREROUTING -m mac --mac-source xx-xx-xx-xx-xx-xx -j ACCEPT (Host A)
    iptables -t nat -A PREROUTING -m mac --mac-source xx-xx-xx-xx-xx-xx -j ACCEPT (Host B)
    iptables -t nat -A PREROUTING -p tcp --dport 80  -j DNAT --to 127.0.0.1:8080

    Через PHP:
    https://stackoverflow.com/questions/1420381/how-ca...

    Если можно как-то ещё организовать доступ с конкретного списка устройств
    Ключи, VPN или VLAN (на свитче)
    Ответ написан
    Комментировать
  • Какой антивирус найдёт вредоносный код в PHP файлах и SQL базе?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Ai-Bolit
    Этот инструмент УЖЕ встроен в хостинг на Beget (партн.линк) для проверки Ваших сайтов
    3c7340dcde2347a0b606a62eeea3c6d8.jpg
    Ответ написан
    1 комментарий
  • Чем ключ отличается от пароля?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Уровень безопасности сравнится?

    Нет и никогда.
    Ключ - это генерируемый однократно на стороне сервера (публичный) и не передаваемый параметр при авторизации (приватный) в отличии от пароля (или его хеша).
    Публичный может обмениваться на приватный (иногда, называют токеном), который сохраняется на клиенте и с помощью него подписываются все последующие запросы к серверу. У приватного - всегда есть "срок" жизни по истечению которого он должен быть перевыписан.
    Ответ написан
    Комментировать
  • Как навсегда отключить злоумышленника от моего компьютера?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    но если отойти не надолго то видно что им кто то управлял, а недавно он ещё и в блокноте нам привет написал, и рассказал о своих намерениях
    явно, что у него есть визуальная информация и он видит: сидит ли кто-то за компом или нет.
    Думаю, что кто-то из домашних шутит)
    Ответ написан
    Комментировать
  • В каком из этих направлений больше денег в России?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Чтобы жить безбедно - нужно просто найти нужного дядю и тогда можно не работать.
    Всё остальное - это фантастика.
    PS: Сейчас должен "попереть" сетевой администратор системы Linux полного цикла с опытом защиты от внешних атак. ))
    Ну и, конечно всё, что связано с "переездом" с Win на *nix с сохранением функционала.
    Ответ написан
  • Как защищаются от SQL-инъекций?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    1. Смотрите здесь правила защиты от внешних атак.
    2. Непосредственно в коде: regex-фильтрация входных данных и подготовленные выражения для SQL-запросов.
    Ответ написан
    Комментировать
  • Как исследовать программы?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Начинайте с изучения архитектуры ОС и архитектуры ПО под эту ОС.
    Ответ написан
    Комментировать
  • Как защитить ссылку на видео от распространения?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Покупателю нужен плагин для проигрывания шифрованного контента или отдельное приложение-плеер с поддержкой дешифрации видео-контента.
    Ответ написан