到底是買蘋果筆記本還是thinkpad到今天為止還沒有乙個合適的定論,暫時先這樣吧,暫時先不買吧
安全工程師的核心競爭力不在於他能擁有多少個 0day,掌握多少種安全技術,而是在於他對安全理解的深度,以及由此引申的看待安全問題的角度和高度。
黑客精神所代表的 open、free、share。
一、關於設定密碼和使用者密碼的儲存建議
儲存在資料庫中的密碼應該為= 設定密碼的複雜度+多因素認證+不可逆加密演算法+salt鹽值
1、設定密碼複雜度
密碼長度為6位或者8位以上
密碼區分大小寫
密碼為大寫字母、小寫字母、數字、特殊符號中兩種以上組合
不要有連續性的組合例如12345 abcdef
盡量避免重複的自服務aaaa 11111
2、多因素認證
乙個憑證被用於認證則是「單因素認證」
兩個或者兩個以上的憑證被用於認證則稱為「多因素認證」
手機動態口令、數字證書、寶令、支付盾、第三方證書都可以
3、不可逆加密演算法
md5sha-1
4、salt鹽值
為了避免雜湊值被彩虹表破解,在明文密碼增加乙個字串鹽值
salt應儲存在專案的配置檔案中
二、sessionid
每次使用者登入後伺服器端通常會建立乙個session已跟蹤使用者的狀態,每個session對應乙個識別符號sessionid
sessionid可以儲存在cookie中也可以儲存在url中,作為請求的乙個引數。
在生成sessionid時,要保證足夠的隨機性,可以使用框架中的足夠強的偽隨機數生成演算法。
當瀏覽器訪問**時會自動的帶上cookie
如果使用者的ip或者useragent發生變化時,伺服器強制銷毀session並要求使用者重新登入
三、單點登入
sso:single sign on只需要使用者登入一次就可以訪問所有的系統。目前網際網路最開放和流行的單點登入系統是openid。
一、垂直許可權管理
基於角色的訪問控制role-based access control(rbac)
二、水平許可權管理
基於資料的訪問控制
三、oauth管理
oauth是乙個在不提供使用者名稱和密碼的情況下,授權第三方應用訪問web資源的安全協議
oauth1.0在2023年12月公布,並迅速成為了行業標準(解決不同**之間互通的的問題)
oauth和openid都致力於讓網際網路更加的開放。openid是解決認證的問題,oauth更注重的是授權的問題
oauth委員會實際上是從openid委員會中分離出來的(2023年12月),oauth的設計本來是想彌補openid中的一些缺陷和不方便的地方後來發現需要設計乙個全新的協議
oauth中涉及諸多的加密演算法、偽隨機數演算法。
2023年年底oauth2.0為oauth較為穩定的乙個版本。需要用到oauth的地方有桌面應用、手機裝置、web應用但是oauth1.0只提供對web應用的支援所有oauth2.0應運而生
四、最小許可權原則是許可權管理的**法則
一、設計出安全完美的方案
2023年6月10日 星期五 晴
事業單位考試成績出來了。我進面試了,還是很開心的。之前並沒有把握,只是覺得有可能。隨之而來的是,更多的焦慮伴隨的心情低落。可能是想的太多了吧。明明知道往前走,是必須去面對的更大的困難。可還是必須往前衝!面試培訓班不知道為什麼會 炒的那麼高,幾千幾萬的。我當然很想最終上岸,所以,只是第二名的成績不報班...
2023年9月13日星期五
為什麼老是會和他吵架,發脾氣 兩人已經夠無奈的了,為什麼我們還要這樣?晚上好好的吃完 因為爸媽發簡訊問我身份證拿到了沒有,我沒給他看,便又吵了起來,他認為我有什麼瞞著他,當我願意給他看時,他又說我把他要看的東西刪掉了。老天!誰還會理我這張憔悴蠟黃的臉!或許以前,我還很可愛,漂亮,有活力,會有男生來追...
2023年4月4日 星期五
上午就兩節課,老師講的微機原理與接 術,糊里糊塗的就上完。其中的一節課不小心讓我就睡過去了,餘下的一節課思想拋錨,直到同學們都迫不及待的想下課,老師才宣布今天的課就上到這裡。老袁是個很有耐心的老師,本來很難理解的知識,他給我們講述的很簡單,很容易就讓我們理解了。當然,他再怎麼有激情的講授課程,坐在下...