Рубрика «token» - 2

в 14:11, , рубрики: mozilla, nss, PKCS#11, token, информационная безопасность, криптография, метки:

image Токены PKCS#11 выполняют не только криптографические функции (генерация ключевых пар, формирование и проверка электронной подписи и другие), но и являются хранилищем для публичных (открытых, PUBLIC KEY) и приватных (закрытых, PRIVATE KEY) ключей. На токене также могут храниться сертификаты. Как правило, на токене хранятся личные сертификаты вместе с ключевой парой. При этом на токене может храниться несколько личных сертификатов.

Встает дилемма, как определить какой закрытый ключ (да и открытый тоже) соответствует тому или иному сертификату.

Такое соответствие, как правило, устанавливается путем задание идентичных параметров CKA_ID и/или CKA_LABEL для тройки объектов: сертификата (CKO_CERTIFICATE), публичного ключа (CKO_PUBLIC_KEY) и приватного ключа (CKO_PRIVATE_KEY).
Читать полностью »

в 10:29, , рубрики: cloud computing, cloud storage, pkcs11, token, информационная безопасность, облачные сервисы

PKCS#11 (Cryptoki) является стандартом, разработанным RSA Laboratories, для взаимодействия программ с криптографическими токенами, смарт-картами и другими аналогичными устройствами с помощью унифицированного программного интерфейса, который реализуется через библиотеки.

Поддержкой стандарта PKCS#11 для российской криптографии занимается технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).
Читать полностью »

в 19:09, , рубрики: authentication, java, Spring Security, token

Всем привет! Хабр жив! Данный пост вряд ли соберёт кучу лайков и комментов, но надеюсь, поможет здоровью хабра.

В данной статье рассмотрим принцип аутентификации в веб-приложениях на платформе Spring с использованием относительно нового механизма аутентификации — JSON Web Token (JWT). Этот механизм уже обкатан и реализован для многих языков программирования.

Читать полностью »

в 15:29, , рубрики: token, гик-порно, двухфакторная аутентификация, Железо, электронные карты

Что внутри у ридера для двухфакторной авторизации?

В связи с тем, что один из банков переходит, наконец, к системе смс-кодов вместо скретч-карт, мне пришлось ехать в их офис за подключением смс.
Как показывает практика, авторизация в интернет-банкинге с помощью смс не всегда безопасна: номер могут и угнать.
Поэтому я решил узнать, не предоставляет ли банк аппаратный токен или, как они сами это называют, — аппаратный генератор паролей. Оказалось, что предоставляют. Разумеется, не бесплатно.
Так получилось, что ранее у меня уже был токен другого банка, который выглядел как брелок с кнопкой.
Но он был один, а банк был далеко, и удовлетворять своё любопытство (а что же там внутри?), а потом, в случае поломки, ехать за полторы тысячи километров не вызывало оптимизма.
А тут — банк рядом, токен не очень дорогой, один можно и разломать разобрать.
Увы, откровений не будет.

(Аккуратно, траффик!)
Читать полностью »

в 5:33, , рубрики: ajax, csrf, jquery, php, token, информационная безопасность, метки: , , , ,

Совсем недавно у меня появилась задача защитить web-приложение полностью построенное на ajax от CSRF-атак.

Каков же механизм такой атаки? Суть заключается в выполнении запроса с другого сайта под авторизационными данными пользователя. Например, у нас есть действие удаления своего аккаунта example.com/login/dropme. Если защиты от CSRF атаки нет, мы можем на нужном нам сайте разместить тег:

<img src="http://example.com/login/dropme">

Сразу после того как пользователь зайдет на приготовленную нами страницу и подгрузит содержимое img, его аккаунт на example.com будет удален. О защите от этого я расскажу под катом.

Читать полностью »

в 19:22, , рубрики: csrf, ebay, ebaytoday, token, конкурс, накрутка, метки: , , , , ,

Вопросы безопасности в веб-технологиях / Как НЕ нужно проводить конкурсы на своём сайте
Наверное, многие уже слышали о замечательном сервисе ebaytoday.ru, который занимается пересылкой покупок с аукционов и интернет-магазинов США, Великобритании, Германии и Китая. Доставляют хорошо, нареканий не много, да и сервис у них хорош.
Так вот, они в преддверии 14 февраля решили сделать интересный конкурс — за что им честь и хвала. Условия очень простые: вы загружайте фотографию себя и своей второй половинки, а потом другие пользователи, принимающие участие в конкурсе, для каждого молодого человека подбирают девушку из 5 предложенных. Тем, кого угадают наибольшее количество раз приз — 2 Kindle Touch. А тому, кто угадает 20 пар в любой день —Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js