Рубрика «безопасность» - 147

в 12:02, , рубрики: javascript, php, аутентификация, безопасность, Веб-разработка, метки: ,

Сегодня все ещё большинство сайтов работает по протоколу http, а не https. Это хуже в плане безопасности, но дешевле и проще в поддержке. Безопасность аутентификации на таких сайтах — проблема, так как чаще всего она реализуется простой отправкой формы c логином/паролем на сервер, где хэш пароля сверяется c хэшем, который соответствует указанному логину. Входя на такой сайт в открытой Wi-Fi сети или другом публичном месте любой кто умеет пользоваться google сможет без особых усилий перехватить ваш пароль. Некоторые идут чуть дальше, отправляя на сервер хэш пароля, но и это не на много лучше так как имея радужную таблицу (особенно для md5) можно попробовать найти пароль, имея не нулевой на успех, и каждый день вероятность успеха растет.

В этой статье я предлагаю альтернативный, более сложный способ аутентификации, при котором пароль ни в чистом виде, ни в виде хэша не светится, а заодно такой подход практически исключит необходимость в добавлении captcha к форме входа.
Читать полностью »

в 5:05, , рубрики: DNS, DNSSEC, безопасность, домены, я пиарюсь, метки: , , ,

В этой статье Webnames.Ru, один из крупнейших регистраторов доменных имен в России расскажет о том, как реализовать на практике протокол безопасности DNSSEC — технологию, которая защищает уязвимые места системы доменных имен, в основе которой лежит метод цифровой подписи ответов на запросы DNS.

Читать полностью »

в 20:05, , рубрики: evernote, безопасность, взлом, информационная безопасность, утечка данных, метки: , , ,

По информации из официального блога Evernote, взломщикам вероятно удалось получить доступ к некоторым данным пользователей:

Вместе с тем расследование показало, что у неизвестных лиц была возможность получить доступ к пользовательским данным, включая имена пользователей и адреса электронной почты, к которым были привязаны аккаунты Evernote и зашифрованные пароли. Несмотря на то, что информация о паролях оказалась доступной, обратите внимание, что все хранящиеся в Evernote пароли защищены односторонним шифрованием (говоря техническим языком, они хешированы с солью).

Читать полностью »

в 10:44, , рубрики: Google, аутентификация, безопасность, информационная безопасность

Злоумышленник может обойти двухфакторную аутентификацию (2ФА) на сервисах Google, сбросить пользовательский пароль и получить полный контроль над аккаунтом, просто заполучив т.н. пароль приложения — ПП (ASP — Application-Specific Passwords).

Обход двухфакторной аутентификации Google
(При всём уважении к рекламной компании Google «Good to Know»)

Читать полностью »

в 14:49, , рубрики: exploit, hacking, mitm, social engineering, безопасность, информационная безопасность, офис, сотрудники, метки: , , , , , ,

На пути к созданию безопасного (веб)ресурса. Часть 3 — офис, сотрудники
Типичная работа сотрудника глазами самого сотрудника и глазами отдела безопасности

Первые две части данной темы были посвящены преимущественно веб-ресурсам. Эта часть более общая и не имеет как таковой привязки к профилю проекта (все же за исключением пары пунктов). Она освещает возможные, популярные векторы атак на сотрудников и на техническое обеспечение офиса компании (p.s. изначально хотел написать про security-тестирование, но решил «перепрыгнуть» эту тему в силу разных причин).

Автор не несет никакой ответственности за незаконное использование описанных методик и/или инструментов.
Читать полностью »

в 21:30, , рубрики: php, security, архитектура, безопасность, информационная безопасность, метки: , , ,

Я рад продолжить рассказывать свои взгляды к подходам создания безопасных веб-ресурсов и веб-приложений и перейти от первой части, которая содержит в себе некоторые общеполезные security-инструкции, ко второй — разработке самого приложения.
Читать полностью »

в 12:34, , рубрики: безопасность, информационная безопасность, пароли, статистика, метки: , ,

imageНет нет, ничего не случилось, все в порядке, но рассказать все таки решил, уверен, кому то это будет полезным.
У меня есть некоторое количество сайтов и так уж сложилось исторически, что практически на всех стоит счетчик liveinternet.ru. Да, я знаю о Яндекс метрике и аналитиксе, но привычка штука серьезная.

Иногда случается, что сайт умирает, становится не интересен или еще по какой-то причине закрывается а домен больше не продлевается. История знакомая многим и мне в том числе. После этого трагического события мне как то не приходило в голову, что нужно пойти на liveinternet.ru и сменить все свои данные. А зря…
Читать полностью »

в 9:52, , рубрики: sms-сервис, безопасность, Блог компании Яндекс, мошенничество, одноразовые пароли, пароли, платежные системы, электронные платежи, яндекс.деньги, метки: , , , , , , ,

Яндекс.Деньги в пятницу запустили один из самых востребованных сервисов — защиту любой операции одноразовым SMS-паролем. Теперь на сайте есть три способа усиленной авторизации: таблица кодов, электронный токен и пароли в SMS.

image

Сервис бесплатный. Для того чтобы начать им пользоваться, нужно:Читать полностью »

в 14:20, , рубрики: безопасность, Блог компании Mail.Ru Group, почта mail.ru, метки: ,

У этого поста две цели. Первая: слегка приоткрыть завесу над правилами игры, которых придерживается крупная почтовая служба в вопросах безопасности. Мы хотим, чтобы меры, которые мы принимаем для защиты пользователей, стали понятней сообществу. Пост написан на основе опыта Почты Mail.Ru, но рекомендации универсальны и применимы к любому почтовому сервису.

Вторая цель — рассказать о том, как защитить ящик. Мы пройдемся по базовым моментам и напомним те пункты в «плане безопасности», о которых редко задумываются. Может быть, сведения из этой статьи пригодятся вам, а возможно — вашему беспечному другу, родителям или коллеге. Возможно, нам даже удастся сделать так, чтобы звонков «У меня, кажется, ящик взломали, ты же программист, сделай что-нибудь!!!11» стало чуть меньше.

Читать полностью »

в 9:29, , рубрики: NIST, безопасность, виртуализация, виртуализация серверов, защита, информационная безопасность, руководящий документ, стандарт

Перевод NIST SP800 125. Руководство по защите технологии полной виртуализации
На фоне общей тенденции сегодняшней ИТ-индустрии перехода к виртуализированной инфраструктуре и облачным вычислениям, перед предприятиями остро встает вопрос о безопасности такого перехода. Основными причинами некоторой неопределенности в этом вопросе для российских ИТ-специалистов и специалистов по безопасности – это небольшой опыт работы с данными технологиями и, главное, отсутствие руководящих документов и стандартов уполномоченных государственных органов.

Сразу оговорюсь: российский стандарт разрабатывается. Он будет именоваться «Защита информации. Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения». Проведение публичного обсуждения первой редакции указанного национального стандарта планируется провести в период с мая по июнь 2013 г. Ясно, что ждать его утверждения в ближайший год явно не приходится. В связи с этим, особую важность приобретают иностранные рекомендации, где опыт внедрения решений по виртуализации значительно шире.

Документ NIST SP 800-125 содержит наиболее общие рекомендации, на основе которых организациям можно и нужно разрабатывать свои политики безопасности.
Ввиду громоздкости документа для одного поста, здесь приведу только общие определения из «введения» и раздел «обзор безопасности виртуализации». Для желающих, ссылка на полную версию в формате docx.
Под катом много букв.
Читать полностью »

1...1020...146147148...150...159
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js