Задать вопрос
Ответы пользователя по тегу Информационная безопасность
  • Как настроить безопасность своего VPS (и нужно ли), если ты - тупой?

    Noizefan
    @Noizefan
    1) конкретно за скан переживать не стоит.
    айпишников четвертой версии на планете всего 4 с небольшим миллиарда - это очень мало, где-то года с 2018 масскан это стабильная штука для любого ипа, особенно для новых впсок на хостингах, вот тебе пруф, вот чо творится с моими личными доменами, на которых личные штуки с авторизацией:
    6765bab43dc59699791673.png
    в панельке:
    6765bcfe536ec506306473.png
    причём сканят уже не только ипы, а еще и звучные домены, т.к. на одной впске у меня на разных доменах были разной мощности сканы.
    вот прям такой я епта популярный! это боты, половина моих доменов даже близко не индексятся ПС. я их брал просто чтоб самому вместо айпи запоминать домен.
    прогугли и пойми что такое masscan, burpsuite, тамперы итд - ответит на все вопросы. или задавай их тут мне в комменты, так уж вышло что много знаю
    2) хттпс к лично твоей безопасности как админа сервера не добавляет ничего. переживать за сервер однозначно стоит.
    лучшая минимум практика - на сервере только обновляемый своевременно sshd, а все остальные сервисы в docker-контейнерах, тоже соотв. своевременно обновляемых.
    в твоём случае, если только хтмл - за что ты вообще тогда переживаешь? ни базы, ни кода с точки зрения актива финансового, хоть на гитхабе захости и меньше думать будешь, соответственно крепче спать.
    3) cdn это для тех, кто понял, что "в моём случае, без CDN - никак". но если твои проекты роста не предполагают - меняй впски на хостинг. и дешевле, и безопасность от самого хостера (ему захочется ли, чтоб его серверы взламывали? а у него в штате специалист по безопасности точно есть, в отличии от твоего соло-штата)
    Ответ написан
    1 комментарий
  • Стоит ли устанавливать Content Security Policy на простенький сайт?

    Noizefan
    @Noizefan
    Стоит ли заморачиваться качеством сейфа, если в нем не доллары, а рубли?
    Ответ написан
    2 комментария
  • Подойдёт ли мак на m1 для кибербезопасности?

    Noizefan
    @Noizefan
    Intel+VMWare
    Ответ написан
    Комментировать
  • Какие отличия у ГОСТ 34.11-2018 от ГОСТ 34.11-2012?

    Noizefan
    @Noizefan
    diff
    Ответ написан
    Комментировать
  • Хакер на Винде? + Как стать хакером?

    Noizefan
    @Noizefan
    Хакер это не взломщик
    Хакер это профессионал
    Ораторы вышевысказавшиеся включая тс’а, пожалуйста, пользуйтесь словами зная их историческое значение, тогда и у таких тс’ов будет меньше вопросов и дезинфы, и вопросов такого рода в целом будет меньше
    А набить решения можно в темах, в которых разбираетесь
    Лучше бы заняли его правильной постановкой задач и конкретизацией целей
    Ответ написан
    Комментировать
  • BTC нода для интернет магазина, как настроить права доступа?

    Noizefan
    @Noizefan
    Либо да, человек на найме, либо им же пишется интерфейс человеческий к ПО
    Других вариантов нет
    Ответ написан
    Комментировать
  • Безопасность при отправке http-трафика и чего стоит опасаться?

    Noizefan
    @Noizefan
    Максимально объёмно здесь - https://www.anti-malware.ru/analytics/Threats_Anal...
    Ответ написан
    Комментировать
  • Как работают вирусы в расширениях браузеров?

    Noizefan
    @Noizefan
    Дополнения, в основном, пишутся на JS.
    И, действительно, имеют очень много возможностей относительно Ваших личных данных.
    Безопасность проверить - полностью изучить код, если закрыт - проверять репутацию расширения и сверять хэш-суммы
    Ответ написан
    Комментировать
  • Где можно пройти стажировку безопаснику?

    Noizefan
    @Noizefan
    Нет. Креативные сотрудники ценнее. Дефейсните сайт более-менее интересной Вам компании и оставьте там своё резюме.
    Ответ написан
    Комментировать
  • Что такое CSRF атака?

    Noizefan
    @Noizefan
    Нет.
    Для осуществления CSRF-атаки нужна лишь форма с веб-сайта и путь, куда она отправляется.
    Нужно просто скопировать саму форму в пустой html файл и заставить её отправляться сразу после загрузки с помощью JS. Естественно, в форме уже должны быть установлены все значения value, иначе теряется смысл атаки.

    Однако, в одном из hidden-полей формы может быть одно с названием csrf-token, отчего про данную атаку можете смело забыть. (Если только разраб не дурачок и не чисто ради отвлечения внимания добавил её в код)
    Ответ написан
  • Безопасно ли регистрироваться/заходить с помощью сторонних аккаунтов ( ФБ, ВК, ГУГЛ и тп )?

    Noizefan
    @Noizefan
    Готов поспорить. Некоторые возможности (узнать чуть чуть больше информации, чем им по факту нужно; могут следить за изменениями ваших профилей на данных сайтах) по отношению к вашему аккаунту такие сайты всё же имеют. Рекомендую убеждаться в авторитетности перед использованием. Coursera - точно безопасно, как сказал Дмитрий
    Ответ написан
    Комментировать
  • Как найти уязвимость в самописном велосипеде?

    Noizefan
    @Noizefan
    Нет нет и нет.
    Фильтровать нужно все, абсолютно все данные, которые могут прийти от пользователя. Представьте, что посетители Вашего сайта - исключительно хацкеры. Пишите код исключительно с этим условием.
    Ответ написан
    Комментировать