私は、企業コミュニケーションのセキュリティを確保する方向で長い間働いてきました。 主な焦点は電子メールです。 当社には、マネージャーがメインのメールを使用するというポリシーがあり、もちろん、一般的なサーバーのセキュリティ問題についてはマネージャーに相談する必要があります。 これらのサーバーについては多くの質問がありますが、特に興味のあるものもあり、巨大企業が単純なことを考えなかった理由は明らかではありません。
1.ユーザーへのSMS通知、プライマリアドレスおよびバックアップアドレスへの電子メールの送信による、アカウントへのアクセスを復元する試みの通知。
2.選択(ブルート)によってアカウントへのアクセスが繰り返し試行され、請求項1の方法を使用してユーザーに通知される場合、パスワードの強制変更
3.請求項1の方法を使用して、新しいマシンからのアクセスについて通知し、ユーザー確認オプションがオンになっている場合-アクセスをブロックします。 この機能は部分的に実装されていますが、ほとんどのサービスには通知がありません。
4.デバイス識別子(user_agent + ip + cookie)によるユーザー識別、localStorageを使用した、セッションを通じたユーザー制御。
6. IPを変更してCookieをクリアする場合でも、ユーザーを制御できる機能を追加すると、localStorageおよびその他の対策に役立ちます。 たとえば、ページコードまたはページアドレスなどに隠された識別子を送信します。
7.セキュリティの質問を通じて、アクセスを復元する複数の試行をブロックします。 これは主に「P」を指し、そこではまったく考えられませんが、他のサービスにも適用されます。
8.バックアップ電子メールアドレスを介してメールボックスへのアクセスを回復したときに、「G」がどのように安全に反応するかを知っていますか? リカバリページにバックアップメールアドレスの60〜70%が表示されます。リンクをクリックすると、パスワードの変更が提案されます。 G-素晴らしい。
9.ボットの追跡(ブルート、チェック)。 エンコーダーがリテラシーであることが判明し、優れたソフトウェアを作成した場合、そのアクションとIPの結果によって追跡できます。 何百万もの「ねじれた」アカウントの場合、プロキシは十分ではないため、繰り返されました。 データベースに保管することはそれほど難しくありませんが、必要に応じて、なりすましをせずにIPからボットを使用したい人を見つけることができます。 一部のコーダーはユーザーエージェントを変更することさえしません。多くのコーダーは単にサイトの要件を無視するため、システムの欠陥を見つけます。
10.プログラムの追跡方法は? そしてそれは必要ですか? はい、ただし常にではありません。 多くのオプションがあり、サーバーリソースを略奪することのないオプションもあります。 ロシア人でさえ、ブルーターの捕虜を怖がらせることはできません。複雑なシステムを作成することは、ユーザーを失うことです。 ただし、パスワード/秘密の回答を再入力するための基本遅延を設定できます。 何らかの方法で、これは攻撃者の作業の結果に影響します。特に遅延がランダムであり、その違反がアラームモードにつながる場合は、ボットを検出できるためです。
11.多くのエンコーダーは、人間のアクションを模倣することをせず、チェックマークをスキップし、テキストを読まず、リクエスト内のパラメーターの順序に違反します。これに従うと、マシンを簡単に判断でき、エンコーダーの寿命が複雑になります。それだけです。 ランダムな質問をフォームに追加し、動的フィールドを作成します-これは、すべてではありませんが、コーダーの生活を複雑にしますが、愚か者からあなたを救い、深刻な問題に集中することができます。
12.ステージが多いほど難しくなります。 ユーザーに確認、またはより正確にはブラウザーからの確認が必要なシステムを編成しようとしました。これは、ユーザーが認証ページにいる場合は10秒ごとにリクエストを送信し、応答がない場合はセッションが破棄されたため、アンチキャプチャを強制終了しました。
13.バグに取り組みます。 コーダーはどのように結果を決定しますか? 結果から、応答またはアドレスでエラーポインターを見つけたとしましょう。 承認が成功した回答がエラーの結果と変わらないようにこの質問を解決しました。そのため、コーダーは回答の違いを見つけるために余分な作業を行う必要がありました。 多くのオプションもありました。 ボットをブロックしたシステムは非常に効果的であることが判明しましたが、データが間違っていることを彼に通知し続け、その後、小さなフェイントと実際のユーザーが、パスワードの記憶を停止し、サポートに連絡する時間であるという通知を受け取りました。
14.アクセスの復元を開始する前にテクニカルサポートサービスへの連絡を要求するには、アカウントを管理し、別の郵送先住所で希望を確認する必要がある秘密の質問に答えることを申し出ます。
15.主な問題は、ブルート、localStorageとクリーンCookieの不足、新しいIPアドレス、ブルートの新しいアカウント、決定方法です。 IP検証がない場合、ユーザーが1週間ログインしていない、電話が接続されていない、バックアップアドレスがない場合、どうすればよいですか? 最初のオプションは、そのようなアカウントを禁止し、電話の添付、追加のメールアドレスを要求し、質問をすることです-ユーザーはそのようなメールを必要としますか? 彼は答えます-はい、それは彼がすべての手段に行くことを意味します、これは彼自身の利益のためです。 そうでなければ、ブルータスの長年にわたって蓄積された「プラム」があります。
16. IMAPおよびPOP3のセキュリティを確保し、アカウントパスワード以外の一意のパスワードのインストールを要求し、デバイスを確認し、これらのプロトコルを介して接続を厳密に制御します。 繰り返しますが、「リモート」が必要ですか? 電話を接続しますか? メールを接続し、Webインターフェイスを介して座ってください。 対策は厳しいですが、標準になった場合、他に選択肢はありません。
多くのセキュリティオプションを詳細に説明したり、大規模なリソースであっても目をつぶっているだけの脆弱性の例を提供したりできます。 なぜこれが必要なのか、適切なセキュリティの欠如をユーザーに責めることができる場合、彼らは彼がウイルス、トロイの木馬、曲がった手などを持っていると言い、実際に彼自身のユーザーを無視していると彼らは言う。 今日、大企業がこれを行っているのは残念です。長年、明らかな問題やユーザーの苦情に目をつぶっていて、最終的にはすべての責任が非難されています。 自分自身と顧客を尊重しない大規模なサービスの所有者は、何百万ものパスワード流出を「例外」と「ユーザーエラー」と呼んでいるため、Webでの優れた態度とセキュリティに対する信頼を失ったすべてのユーザーにこのようなサービスをおlikeびしたいと思います。 彼らのサービスがこれを可能にしたことを認めるために、彼らは精神に欠けています。 これは、そのようなことを別様に見ている人、独自の顧客指向のサービスを作成する準備ができている人にとって良い信号です。 ユーザーの電子メールのボットを表示する最新のスキャンダラスなストーリー、ドレイン、制限を考えると、優れた安全なサービスはクイックスタートのすべての設定を受け取りました。私は近い将来、彼らの外観または市場の部外者のセカンドライフを見ると確信しています。
シンプルなもの(メールセキュリティ)
All Articles