来自 安全 2021-05-02 07:08 的文章

海外高防ip_高仿手表和正品的区别在哪_零元试用

海外高防ip_高仿手表和正品的区别在哪_零元试用

网络隐私不再是简单地远离窥探的眼睛。网络上的加密在提供我们的隐私方面起着关键作用,而且它在不断变化。像传输层安全(TLS)这样的加密协议一旦被保留用于登录和签出页面,就在最近一段时间里变得越来越重要,为端点提供了一种身份验证和秘密通信的方法。在过去两年里,vb防御ddos,TLS标准也得到了更新。浏览器将很快阻止旧的和弱的协议实现,cc攻击的原理与防御,如TLS1.0和1.1。新的协议也被引入,以锁定不安全的协议仍然广泛使用。很容易看出企业可能会如何努力跟上。例如,去年年初,安全研究人员发现了第一个利用新兴的Doman名称系统加密协议DNS over HTTPS(DoH)的恶意软件样本。TLS的前景已今非昔比,组织需要随时掌握最新发展,以确保网站在其生命周期内得到安全部署和维护。跟上变化在很大程度上,企业了解新的TLS更新可以带来的好处,他们似乎乐于接受变化。例如,F5实验室最新的TLS遥测报告发现,Alexa前100万个站点中有近三分之一接受tls1.3连接。在很多方面,它有很好的商业意义。大多数流行的web浏览器已经支持这个新标准,它带来了一系列的安全性和性能优势。然而,ddos最佳防御点,TLS并不是所有人都采用的最新选择。如果是这种情况,公司应该考虑通过删除提供RSA密钥交换的密码套件来完全禁用RSA密钥交换。F5研究发现,超过三分之一的世界上最受欢迎的网站仍然提供RSA作为他们的首选密码算法,尽管安全研究人员仍在寻找攻击它的方法。这包括19年前的ROBOT漏洞,该漏洞允许使用TLS服务器的私钥执行RSA解密和签名操作。根据F5实验室的研究,世界上超过2%的顶级网站可能仍然容易受到这种攻击。与其他软件一样,安全研究人员经常发现TLS库中的漏洞。这就是为什么组织有责任确保在其web服务器、负载平衡器或应用程序交付控制器的TLS堆栈有更新时得到警报。快速修补的政策也至关重要。还需要注意的是,任何证书颁发机构(CA)都可以为web上的任何域创建证书。出于这个原因,谨慎的做法是只允许两到三个著名和受信任的ca。这可以通过创建DNS证书颁发机构授权(CAA)记录来实现。此外,国外免费ddos防御,将HTTP严格传输安全(HSTS)头应用于web应用程序将提供额外的安全层,因为浏览器只会尝试通过HTTPS安全地加载站点。这是一个关键的步骤,可以帮助防止网络攻击,迫使不安全的网页加载,允许攻击者窥探,重写和重定向网络流量。虽然创建DNS CAA记录是为了防止有效域的证书错误颁发,但欺诈者很少尝试为现有域创建证书,例如我的银行. 相反,他们使用品牌名"mybank"作为子域为自己拥有的域创建证书,例如mybank.attacker.com.值得庆幸的是,每当任何CA创建证书时,它都会被记录在一个全局分布的数据库中(证书透明日志)。监控CT日志是一种有用的方法,当一个域或品牌被威胁参与者冒充时,可以发出警报。现在HTTPS无处不在,也有更多的密码、密钥和证书需要管理。再加上越来越多地采用DevOps方法,这意味着变更和部署的速度在不断提高。正如安全工具和测试被集成到自动化工具链中一样,HTTPS的配置也必须如此。这意味着研究数字证书的有序创建,并开发定义标准的内部策略,例如最小密钥长度和密码套件。这种性质的自动化也有助于处理即将过期的证书,ddos攻击防御极贵,在服务中断之前自动更新证书注意TLS安全漏洞不幸的是,即使正确部署了TLS,仍然存在许多隐私和安全漏洞。协议,如DNS over HTTPS(DoH),正在出现,以帮助弥补这些差距,虽然它们提高了web用户的隐私,但它们也会使企业安全团队更难识别和阻止恶意流量。在某些情况下,这需要禁用企业网络的DoH或为用户部署内部DoH服务。这些服务将与您的web代理一起工作,并帮助过滤掉不需要的流量。归根结底,即使是世界上最好的TLS部署也无法防止恶意代码被客户端恶意软件注入或由于第三方脚本而受到危害。这就是为什么我们总是建议了解HTTPS的局限性以及存在的差距。有一点是肯定的:加密总是在不断发展。密钥长度在增加,证书正在自动化,政府正在施加限制,新的协议正在出现。正是这种不断变化给许多组织及其客户带来了新程度的风险。糟糕的TLS部署不会被黑客、监管者和网络安全保险公司忽视,它会对组织的其他基础设施提出严重的问题。