Proxy gyorsÃtÃ³tÃ¡raik egy izgalmas FenyegetÃ©s az Internet Security

iBot · #1 (**permalink**) 09-26-2008

Proxy gyorsÃtÃ³tÃ¡razza egyÃ¼tt rosszul Ã¼lÃ©s ÃrÃ¡sos kezelÃ©si kÃ³dot, kÃ¶nnyen vezet komoly biztonsÃ¡gi hibÃ¡kat, hasonlÃ³an ahhoz, amit mi kiemelve Ãšj biztonsÃ¡g a Google Docs Revealed.

WebfejlesztÅ‘ nincs ellenÅ‘rzÃ©s proxyt gyorsÃtÃ³tÃ¡razza az interneten. Ugyanakkor a fejlesztÅ‘k nem gyakorolhatnak ellenÅ‘rzÃ©st a kÃ³d azt Ãrni, hogy admin csapatok konfigurÃ¡ciÃ³ ellenÅ‘rzÃ©se a web szervereket. FejlesztÅ‘k kell vÃ¡llalniuk a legrosszabb forgatÃ³kÃ¶nyv esetÃ©n az Internet agresszÃv Internet cache-kezelÃ©si politikÃ¡k, amelyek szolgÃ¡ljÃ¡k gyorsÃtÃ³tÃ¡razott adatok gazdasÃ¡gi Ã©s teljesÃtmÃ©ny okok miatt.

Ez az Ã©let az interneten eredmÃ©nyek internetes Ã¼gyfelek fogadÃ¡sÃ¡t tartalom Ez oda vezethet, hogy tÃ¶bb internetes Ã¼gyfelek kÃ¼ldik ugyanazt a Set-Cookie HTTP fejlÃ©ceket, pÃ©ldÃ¡ul. ÃtmenetitÃ¡razÃ¡s proxykiszolgÃ¡lÃ³k kell beszerezni a friss sÃ¼ti a minden Ãºj Ã¼gyfÃ©l kÃ©rÃ©sÃ©t. IdeÃ¡lis esetben a meghatalmazott gyorsÃtÃ³tÃ¡razza ne cache-session cookie-k kezelÃ©sÃ©nek Ã©s forgalmazza gyorsÃtÃ³tÃ¡razott cookie-kat, hogy tÃ¶bb Ã¼gyfelet. Azonban a fejlesztÅ‘k alkalmazÃ¡sa nem feltÃ©telezi, hogy proxyt gyorsÃtÃ³tÃ¡razza jÃ³l viselkedett, kÃ¼lÃ¶nÃ¶sen az olyan alkalmazÃ¡sok szÃ¡mÃ¡ra, ahol a biztonsÃ¡g Ã©s a magÃ¡nÃ©let vÃ©delmÃ©re van szÃ¼ksÃ©g.

Web fejlesztÅ‘k nem lehet tudni, hogy azok tartalma fogyasztanak kÃ¶zvetlenÃ¼l vagy meghatalmazott ÃºtjÃ¡n cache. A fejlesztÅ‘k mÃ©g nem feltÃ©telezi, hogy a HTTP-vÃ¡laszt fog szÃ¡llÃtani a kÃvÃ¡nt bÃ¶ngÃ©szÅ‘t. SÅ‘t, a fejlesztÅ‘k nem lehetnek biztosak abban, hogy a tervezett bÃ¶ngÃ©szÅ‘ is megkapja a kÃvÃ¡nt tartalmat. PÃ©ldÃ¡ul, a munkamenet azonosÃtÃ³ kiadott egy Ã¼gyfÃ©l kap hasznÃ¡lni, amÃg az Ã©rvÃ©nyes, vagy addig, amÃg az elhagyott Ã©s lejÃ¡rt. Ha ez szolgÃ¡lt Ã©s szÃ¡llÃtott vÃ¡laszul egy titkosÃtatlan HTTP GET kÃ©rÃ©s, nincs garancia, hogy lesz Ã¡ltal tervezett webbÃ¶ngÃ©szÅ‘re.

IdeÃ¡lis, SSL kell hasznÃ¡lni minden internetes Ã¼gyletek, amelyek bizalmas kezelÃ©se Ã©s a magÃ¡nÃ©let vÃ©delme, beleÃ©rtve a legÃºjabb Google Docs megszegÃ©se. MÃ¡srÃ©szt, mÃ©g SSL nem tÃ©vedhetetlen. PÃ©ldÃ¡ul szÃ¡mos web-fejlesztÅ‘k nem helyes beÃ¡llÃtÃ¡sa "Encrypted Munkamenetek Csak cookie tulajdon. Ezek a helytelenÃ¼l beÃ¡llÃtott "secure" szerver kÃ¼ld HTTPS a cookie-kat a nyÃlt, nem titkosÃtott.

Ott kell sÃ¡rkÃ¡nyok ... ..

TovÃ¡bb ...

TÃ¶bb, UNIX Ã©s Linux fÃ³rum tÃ©mÃ¡k Ã–n Ã¡ltal talÃ¡lt Hasznos
SzÃ¡l	Thread Starter	FÃ³rum	VÃ¡laszok	UtolsÃ³ hozzÃ¡szÃ³lÃ¡s
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (956187): Fokozott veszÃ©lyt DNS spoofing SÃ©rÃ¼lÃ©kenysÃ©gazonosÃtÃ³	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	07-25-2008 02:20 PM
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (953818): Kevert fenyegeti KombinÃ¡lt Attack hasznÃ¡lata Apple	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	06-20-2008 05:00 PM
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (953818): Kevert fenyegeti KombinÃ¡lt Attack hasznÃ¡lata Apple	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	06-02-2008 08:30 PM
Microsoft biztonsÃ¡gi tanÃ¡csadÃ³ (953818): Kevert fenyegeti KombinÃ¡lt Attack hasznÃ¡lata Apple	iBot	BiztonsÃ¡gi figyelmeztetÃ©seket (RSS) - Microsoft	0	06-02-2008 07:20 PM
A Top Ten biztonsÃ¡gi veszÃ©lyt 2008 (4. rÃ©sz) - az elsÅ‘ szÃ¡mÃº FenyegetÃ©s	iBot	Complex Event Processing RSS hÃrek	0	11-19-2007 02:50 PM

TÃ©ma eszkÃ¶zÃ¶k	KeresÃ©s a tÃ©ma
Show NyomtathatÃ³ verziÃ³ KÃ¼ldÃ©s e-mailben	KeresÃ©s a tÃ©ma: RÃ©szletes keresÃ©s
MegjelenÃtÃ©si mÃ³dok	Rate this thread
VÃ¡ltÃ¡s Linear Mode Switch to Hybrid Mode Threaded Mode	Rate this thread:


	Powered by