Blog tvd12.com bị tấn công chiếm quyền điều khiển như thế nào?
Blog tvd12.com bị tấn công chiếm quyền điều khiển như thế nào?
Sử dụng wordpress có an toàn không?
Sử dụng wordpress có an toàn không?
Kinh nghiệm bảo mật thông tin người dùng: tên hiển thị
Kinh nghiệm bảo mật thông tin người dùng: tên hiển thị
StackAsk đã bị tấn công như thế nào?
StackAsk đã bị tấn công như thế nào?
Xác thực trong hệ thống microservices
Hi mọi người,
<p>
</p>
<p>
Sau 1 thời gian ngắn tìm hiểu về Microservices với Spring Boot cũng như Spring Cloud thì em thấy đối với chức năng login xác thực người dùng thì đa số sẽ có 1 <strong>Api Gateway</strong> (Em đang dùng <strong>Spring cloud gateway</strong>) nhận tất cả request và xác thực 1 bên thứ 3 mà em thấy nhiều ví dụ nhất là <strong>KeyCloak.</strong>
</p>
<ol>
<li>Cho em hỏi là ở thực tế thì trong hệ thống <em><strong>microservices</strong></em> thì các cách, giải pháp triển khai <em><strong>authentication</strong></em> và <em><strong>authorization</strong></em> như thế nào ạ ?</li>
<li>Em hiện tại ko muốn xác thực thông qua Keycloak mà em muốn viết logic để xác thực bằng Spring và lưu user của hệ thống ở DB của ta thay vì lưu ở Keycloak thì có ổn ko ạ ? Tại vì theo e nghĩ ở dự án thực tế chả ai lưu user của mình ở Keycloack cả.</li>
<li>Nếu có 1 con Gateway thì các service khi gọi nội bộ với nhau thì có cần xác thực ko ạ ?</li>
<li>Em đang muốn làm chức năng xác thực (login) bằng account của hệ thống và cũng như xác thực bằng account <em><strong>Facebook, Google. </strong></em>Cái này nếu làm dự án Monolithic thì em OK còn khi với hệ thống microservices thì em chưa có solution.Mong anh Dũng và mọi người gợi ý giúp em cách làm về chức năng login kiểu này vừa account hệ thống vừa social account.</li>
</ol>
<p>
Tks mọi người !
</p>
Khi nào nên dùng OpenID và Oauth2
Hi anh, khi nào mình nên cài đặt OpenID và Oauth2 trong hệ thống ạ, em thấy về authorization, mình sử dụng phân quyền theo ma trận hoặc phân theo : Ai- Làm gì- Được phép dùng tài nguyên nào... là đủ r để kiểm tra 1 người có quyền tác động tài nguyên hay thực thi chức năng này hay không, vậy em muốn hỏi là khi nào mình nên dùng OpenID và Oauth2
Hỏi về thư viện TOTP
Hi mọi người,
<p>
</p>
<p>
Hiện tại thì em có tập tành tìm hiểu thử về bảo mật nhiều lớp (<strong>MFA</strong>) và em có biết đến thư viện này <a href="https://github.com/samdjstevens/java-totp">Link thư viện</a>.Nhưng khi em dùng app <strong>Google Authenticator</strong> trên điện thoại để gen code và sau đó em nhập code thì thư viện trên ko verify được (mặc dù thư viện này build URI dựa trên format của GG authenticator ) .Em có thử dùng Authenticator extensions khác trên google chrome thì thư viện lại verify được.Mọi người có ai bị tình trạng như này chưa ạ ? Và nếu có thì làm sao để app GG authenticator gen code mà thư viện hiểu ạ ?
</p>
<p>
</p>
<p>
Cảm ơn mọi người đã đọc !
</p>
how to avoid backdoor
công ty em làm fintech, có đang thuê 1 số đối tác outsource. Anh ơi giả sử bên đối tác họ gài 1 đoạn backdoor, ví dụ viết 1 API cá nhân có chức năng cộng tiền vào tài khoản, làm thế nào để check được mà không cần đọc code ạ
Lỗ hổng bảo mật khi giải nén file zip trên server
Nhờ các anh em chuyên bảo mật giúp mình câu này với ạ. Mình từng nghe nói có 1 lỗ hổng bảo mật liên quan đến quá trình giải nén tập tin trên server, có thể là trong quá trình giải nén tập tin sẽ xảy ra sự kiện gì đó để trigger được file ví dụ sh vừa được giải nén chẳng hạn. Cái này có thể xảy ra không nhỉ? Và nếu nó có thể xảy ra thì liệu giới hạn quyền “run” cho folder chứa file zip đó liệu có giải quyết được triệt để vấn đề không nhỉ?
HTTP vs HTTPS
Mến chào tất cả mọi người,
<p>
Hiện tại em đang có 2 service gọi là A,B.
</p>
<p>
service A của em là https, còn B chỉ là service e build ở server và chỉ gọi vào A để lấy data theo dạng cron job. Nhưng mà hiện tại khi B gọi vào A em thấy đang bị 403, em đoán là do giao thức không đúng. Các anh có thể nói cho em hiểu và cho em xin giải pháp fix được không ạ! (em không muốn public B, em chỉ muốn build ở server như thường thôi và e đang code bằng spring boot)
</p>