k
То есть грубо говоря в iptables на серваке где лежит ориджин сайт сконфижить?)
Size: a a a
2020 September 01
BF
Да
M
можно на nginx
DS
Ну ещё можно настроить сервернейм на веб-сервере, чтобы не выдавать сайт по айпи
k
Эх, а я думал в клаудфлере какая нибудь большая красная кнопка "завайтлистить" есть
DS
Эх, а я думал в клаудфлере какая нибудь большая красная кнопка "завайтлистить" есть
Так это на стороне сервера делается по сути
k
Ну я с клаудфлером не работал со стороны внедрения, поэтому и не знаю. Всем спасибо!
SB
Можно закинуть сервер в локальную сеть и пробросить порт через Argo tunnel
Те вообще не иметь паблик адреса
Те вообще не иметь паблик адреса
2020 September 02
EL
Парни, есть вопрос по поводу организации безопасности внутри большой системы, построенной на микросервисах. Представим, что у нас есть некоторое количество приложений, которые крутятся каждое на своей тачке, что-то хранят в базах, общаются друг с другом. С пользователями прямой связи нет, за это отвечает отдельный шлюз. То есть чисто бекенд система, во внешний мир доступа нет. Между этими приложениями нет никакой аутентификации, а пароли к базам передаются как аргументы приложения, либо же задаются через файлы конфигурации.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
BF
Парни, есть вопрос по поводу организации безопасности внутри большой системы, построенной на микросервисах. Представим, что у нас есть некоторое количество приложений, которые крутятся каждое на своей тачке, что-то хранят в базах, общаются друг с другом. С пользователями прямой связи нет, за это отвечает отдельный шлюз. То есть чисто бекенд система, во внешний мир доступа нет. Между этими приложениями нет никакой аутентификации, а пароли к базам передаются как аргументы приложения, либо же задаются через файлы конфигурации.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
Оооо, ты задал замечательный вопрос
IV
Хай всем! Кто знает приложение андроид должно хранить токен атворизации локально на телефоне?
IV
хранит в json файле
ПП
Хай всем! Кто знает приложение андроид должно хранить токен атворизации локально на телефоне?
В специальном сторадже
A
Хай всем! Кто знает приложение андроид должно хранить токен атворизации локально на телефоне?
Смотря какое приложение и какой токен) Есть варианты, на диске и в кейсторе системы.
IV
В специальном сторадже
это не является "M2 Небезопасное хранение данных "?
IV
Смотря какое приложение и какой токен) Есть варианты, на диске и в кейсторе системы.
/data/user/0/APP/files/ тут
A
Смотри, лучше вообще не хранить, а дальше уже от бизнес требований
EL
Парни, есть вопрос по поводу организации безопасности внутри большой системы, построенной на микросервисах. Представим, что у нас есть некоторое количество приложений, которые крутятся каждое на своей тачке, что-то хранят в базах, общаются друг с другом. С пользователями прямой связи нет, за это отвечает отдельный шлюз. То есть чисто бекенд система, во внешний мир доступа нет. Между этими приложениями нет никакой аутентификации, а пароли к базам передаются как аргументы приложения, либо же задаются через файлы конфигурации.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
Вопрос: нужна ли в таком случае вообще какая-либо система аутентификации между этими сервисами, ведь при попадании злоумышленника на тачку, где крутится приложуха, даже с правами пользователя этой приложухи можно считать файлы конфигов, порыться в аргументах командной строки и таки спереть все доступы. Есть ли какие-то подходы, позволяющие предотвратить похек всей системы, если злоумышленник находится вот в таком периметре на одной из машин?
КМК, единственное от чего можно предохраниться аутентификацией - это SSRF.
SSRF тут вида пытаешься ломануться на все доступные тачки, но тк у тебя нет пароля/токена, то получаешь бибу вместо доступа, а добраться до места где хранятся эти доступы через SSRF может быть затруднительно, но зависит от языков/фреймворков канеш
ПП
это не является "M2 Небезопасное хранение данных "?
Он поэтому и специальный
IV
Смотри, лучше вообще не хранить, а дальше уже от бизнес требований
ммм, понимаю, вот думаю смогу ли я в отчете это указать как М2