自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

lavin1614

数字证书技术,互联网安全研究

  • 博客(216)
  • 收藏
  • 关注

原创 什么是 SHA 加密? SHA-1 与 SHA-2

安全哈希算法 (SHA) 是一种用于加密数据的哈希算法。 了解什么是 SHA、它的工作原理以及可用的不同类型对于任何在线企业来说都是必不可少的。

2022-12-02 16:36:41 166

原创 如何避免 SSL 中断并续订证书

避免 SSL 证书中断对企业来说至关重要。 了解如何防止 SSL 证书过期和其他错误以及如何续订证书。

2022-11-30 16:41:07 241

原创 不同类型的 SSL 证书解释

域验证 (DV) SSL 证书提供了最快、最简单和最具成本效益的方式来接收行业标准加密。这种验证类型需要安全域的所有权证明,通常在几分钟内发布。安装后,DV 证书会在浏览器中显示信任指示符,例如挂锁图标和网站域前的字符串 https://。由于组织的合法性未经审查,因此不建议将它们用于商业网站,但非常适合内部站点、测试服务器和测试域。

2022-11-28 16:49:39 122

原创 如何管理 X.509 数字证书

这个私钥是秘密的,只有接收者知道。虽然没有比 X.509 证书提供的数字身份更强大、更易于使用的身份验证和加密解决方案,但忙碌的 IT 团队面临的挑战是手动部署和管理它们非常耗时,并且可能导致不必要的风险 . 为了解决这些问题,组织可以使用数字证书管理平台来管理和自动化整个证书生命周期。企业还可以充当自己的私有 CA,在这种情况下,他们将检查并保证他们发布其公钥的发件人的身份,确保这些公钥与发件人的私钥相关联并保护私钥。:组织必须找到并清点他们已安装的证书,确定它们的位置,并对它们的属性进行分类。

2022-11-24 16:41:24 369

原创 什么是 SSH 密钥? 生成、身份验证、密钥对信息等

SSH 密钥依赖于使用两个相关的密钥,一个公钥和一个私钥,它们共同创建一个用作安全访问凭证的密钥对。这些密钥通常由组织的 IT 团队管理,或者更好的是,在受信任的证书颁发机构 (CA) 的帮助下,以确保它们的安全存储。如果这些孤立的密钥没有受到保护,它们可能会被恶意行为者窃取,然后他们可以使用仍然有效的凭据来访问您的关键业务系统和数据。SSH 密钥使用基于公钥基础设施 (PKI) 技术(数字身份认证和加密的黄金标准)的密钥对来提供安全且可扩展的认证方法。在使用 SSH 密钥之前,需要生成一个密钥对。

2022-11-21 16:59:01 309

原创 2022 年恶意软件趋势与安全最佳实践

即使拥有最好的安全产品,也不意味着 100% 受到保护。”Check Point 恶意软件研究和保护团队负责人科比.艾森卡夫日前在接受采访时表示。这是一位拥有十多年经验的网络安全专家和恶意软件分析师,在采访中,科比讨论了最新的恶意软件趋势、安全最佳实践等。

2022-11-18 16:52:57 680

翻译 RSA、DSA 和 ECC 加密算法有什么区别?

数字签名算法 (DSA)椭圆曲线密码学 (ECC)

2022-11-17 16:40:08 57

原创 公钥密码学中的公钥和私钥

无论哪种方式,都必须信任证书颁发机构来检查和保证他们发布其公钥的所有发件人的身份,确保这些公钥确实与发件人的私钥相关联,并保护其内部的信息安全级别自己的组织来防范恶意攻击。如果没有这种受信任的权威,发件人就不可能知道他们实际上使用的是与收件人的私钥相关联的正确公钥,而不是意图拦截敏感信息并将其用于邪恶目的的恶意行为者的密钥。与可公开访问的公钥不同,私钥是只有其所有者知道的密钥,私钥和公钥配对,以便接收者可以使用相应的密钥来解密密文并读取原始消息。公钥是使用复杂的非对称算法创建的,以将它们与关联的私钥配对。

2022-11-16 16:53:12 548

原创 代码签名是一种有价值的工具——如果它是安全的

今天,几乎所有事情都依赖于代码。软件几乎渗透到我们生活的方方面面;从我们每天使用的产品和机器到支持整个社会的关键基础设施。很难想象一个企业、政府机构、其他实体或设备在某种程度上不依赖软件。曾经有一段时间,最终用户可以信任他们下载的软件。不幸的是,情况已不再如此。随着黑客和其他网络犯罪分子越来越擅长传播恶意软件,即使是信息技术 (IT) 专业人员也很难知道他们购买的软件产品是否合法。更不用说笔记本电脑、移动设备和物联网 (IoT) 设备的自动软件更新了。

2022-11-15 16:33:31 434

原创 什么是 X.509 证书以及它是如何工作的?

基于 X.509 的 PKI 最常见的用例是传输层安全性 (TLS)/安全套接字层 (SSL),它是 HTTPS 协议的基础,可实现安全的 Web 浏览。无论哪种方式,都必须信任证书颁发机构来检查和保证他们发布其公钥的所有发件人的身份,确保这些公钥确实与发件人的私钥相关联,并保护其内部的信息安全级别自己的组织来防范恶意攻击。如果没有这个受信任的 CA,发件人就不可能知道他们实际上正在使用与收件人的私钥相关联的正确公钥,而不是与意图拦截敏感信息并将其用于邪恶目的的恶意行为者相关联的密钥。

2022-11-14 16:33:04 140

原创 什么是 PKI? 公钥基础设施的定义和指南

部署 X.509 证书的一个关键组件是受信任的证书颁发机构 (CA) 或代理,用于颁发证书并发布与个人私钥相关联的公钥。如果没有这个受信任的 CA,发件人就不可能知道他们实际上正在使用与收件人的私钥相关联的正确公钥,而不是与意图拦截敏感信息并将其用于邪恶目的的恶意行为者相关联的密钥。如前所述,公钥是使用复杂的非对称算法创建的,以将它们与关联的私钥配对。随着公开密钥向全世界公开,更多的密钥是使用复杂的加密算法创建的,通过生成不同长度的随机数字组合将它们与相关的私钥配对,这样它们就不会被暴力攻击利用。

2022-11-11 16:46:41 217

原创 Gartner首次发布《2022中国网络安全成熟度曲线》

近日,全球权威咨询分析机构Gartner发布了《2022中国网络安全成熟度曲线》(Hype Cycle for Security in China, 2022)报告,2022中国网络安全成熟度曲线是首次发布,涵盖了Gartner对中国网络安全技术的最新洞察。本次技术成熟度曲线上共有17项安全技术上榜。技术成熟度曲线(The Hype Cycle),又称技术循环曲线,指的是企业用来评估新科技的可见度,利用时间轴与市面上的可见度,决定是否采用新科技的一种工具。

2022-11-10 16:12:39 599

原创 什么是Web3 ?它是如何工作的?

Web3提供了一种潜在的解决方案,可以更容易地在万维网上找到内容的原始来源。我们将讨论Web 3是什么以及它是如何工作的。万维网一直以来都是一个不受限制地创造和分享信息和思想的平台。虽然这让世界感觉更小,但它也有它的缺点,即难以确定内容的原始来源。这种不容易归因的做法为那些声称是合法来源的不可信网站和出版商打开了大门。没有对出版商的可靠认证,人们对在线内容的信任越来越少。Web3或Web 3.0是解决这个问题的潜在方案。该技术可以将内容归因于特定的已知发布者,而不管网站或在线渠道。

2022-11-09 16:49:56 595

原创 手动证书管理与自动证书管理

X.509 证书管理涉及在连接的应用程序、服务器、系统或其他网络部分的网络中购买、部署、更新和撤销证书的过程和程序。几乎所有浏览器客户端和服务器应用程序都会在连接到指定域之前测试证书的有效性。当 Web 浏览器检测到过期证书时,会显示一条消息提示用户,警告服务器不安全。一些浏览器允许用户通过点击提示继续连接到站点,而防火墙后面的用户可能会被完全阻止。这些警告经常使普通网络用户感到困惑,导致他们中的一些人质疑他们试图访问的公司的声誉。就在线业务而言,信任会改变世界。

2022-11-08 16:49:10 167

原创 我们正在经历一场机器身份危机

本文最初由福布斯发布,作为技术理事会的一部分。福布斯技术理事会是一个面向世界级首席信息官(cio)、首席技术官(cto)和技术高管的邀请型社区。零信任是承认防火墙和vpn等传统网络控制不足以保护企业。随着数字化转型、云计算和DevOps趋势的发展,这一点变得越来越真实。该框架建立在“永不信任,始终验证”的概念之上,并将信任视为一种漏洞。这使得标识成为控制对服务、应用程序和其他业务关键操作的访问的唯一工具之一。身份是确保当今企业快速增长的数字足迹的关键。

2022-11-07 16:37:21 55

原创 网络安全宣传月安全团队需要知道的关于PKI的九件事

作为网络安全意识月的一部分,Keyfactor重点介绍了团队如何适应组织中管理证书和机器身份的日益升级的挑战。直到最近,公钥密码学一直是一个相当小众的实践。然而,随着远程工作、云计算和物联网设备的出现,证书的数量和普及程度都出现了爆炸式增长。这种日益增长的脆弱性正成为恶意行为者青睐的攻击载体。与此同时,企业陷入了困境,争相评估整个组织的证书状态,并实施保护和管理证书的长期政策。显示,企业平均拥有269,562个公共和私有证书。

2022-11-04 16:31:02 506

原创 防止鱼叉式网络钓鱼的4个步骤

您能够使用 Microsoft 365 E5 和 Enterprise 许可证监控和实施 ASR 规则,但即使使用仅限 Professional 的网络,您也可以启用保护以更好地保护您的网络。到目前为止,您知道您的用户既是您的第一道防线,也是最薄弱的环节,您不仅需要为进入您办公室的所有电子邮件添加额外的垃圾邮件过滤器,还需要培训您的用户识别他们何时被网络钓鱼. 此外,您可能希望强化操作系统,使其对攻击更具弹性。如果您可以部署推荐的保护措施而对您的环境几乎没有影响,此用户影响报告会立即提醒您。

2022-11-03 16:27:10 140

原创 新闻分析报告:Active Directory 证书服务是企业网络的一大安全盲点

Microsoft 的 Active Directory PKI 组件通常存在配置错误,允许攻击者获得账户和域级别的权限。作为 Windows 企业网络的核心,处理用户和计算机身份验证和授权的服务 Active Directory 几十年来一直受到安全研究人员的深入研究和探索。然而,其组件并未受到同等级别的审查,据一组研究人员称,部署中充斥着严重的配置错误,这些错误可能导致账户和域级别的权限升级和泄露。

2022-11-02 17:02:51 255

原创 释放企业级高级电子邮件安全

根据Insight(处于十字路口的网络安全:Insight 2021报告),96%的人在2020年增加了网络安全预算,91%的人计划在2021年这样做,有趣的是,通过这样做,他们实际上并没有增加他们的网络安全预算和信心水平。网络攻击的数量及网络攻击给企业和公众带来的成本继续逐年快速增长,而2020年,即COVID-19爆发的一年,加速了这一趋势的增长。不过幸运的是,由Perception Point提供支持的Acronis扩展了他们的能力,现在可以保护公司更全面的安全问题。

2022-11-01 16:11:12 559

原创 什么是SMTP?它是如何工作的?第1部分

SMTP,即简单邮件传输协议,是一种技术。可以让电子邮件轻松地从一个服务器发送到另一服务器,直到它们达到作为接收器收件箱的最终目标。这看起来可能像很多的技术概念。除此之外,我将把它分解到最好的几个层次,让大家清楚详细地了解SMTP的工作原理以及为什么它对企业电子邮件如此重要。将SMTP视为连接计算机的虚拟邮递员,将您的电子邮件投递到正确的位置。虽然SMTP涉及的是发送电子邮件,但是整理和传送邮件的工作是由不同的服务器完成的,称为:POP(邮局协议)和IMAP(Internet消息访问协议)。

2022-10-31 16:09:17 260

原创 中间人攻击是什么?

中间人攻击发生在第三方不知道合法参与者的情况下拦截数字对话时。此对话可以发生在两个人类用户、一个人类用户和一个计算机系统或两个计算机系统之间。在任何这些情况下,攻击者都可能只是简单地窃听对话以获取信息(考虑登录凭据、私人账户信息等)。或者他们可能会模拟其他用户来操纵对话。在后一种情况下,攻击者可能会发送错误信息或共享恶意链接,这可能会导致系统崩溃,或为其他网络攻击打开大门。通常情况下,合法用户不会意识到他们实际上正在与非法第三方通信,直到发生损害以后才意识到。中间人攻击的一个例子是会话劫持。

2022-10-28 16:17:51 39

原创 什么是同态加密?为什么它不是主流加密算法?

许多企业都在努力应对的GDPR的一项规定是,欧盟公民的数据必须留在欧盟内部,或在具有同等数据安全标准的国家或公司。如果所有提供给可信第三方处理的数据都是加密的,那么这些数据的泄露不会对公司构成威胁。在这个过程的最后,如果对相应的明文执行相同的操作,并且对结果进行了加密,那么结果应该是生成的密文。设计一个同时支持加法和乘法的算法(即使是支持一组数量的操作)的算法比创建一个允许无限加法或乘法密文的算法要困难的多。例如,一个特定的算法可能是加法同态的,这意味着将两个密文相加会产生与加密两个明文之和相同的结果。

2022-10-27 16:33:10 1254

原创 PKI和设备认证的谬误

在数据中添加第三个维度增加了可访问的、唯一的和一致性的生物特征数据的数量级,大大提高了匹配置信度,并严重限制了2D照片和视频在冒名顶替者攻击中的作用。实际上,100%的PKI确定性结果错误地验证了小于100%的概率用户身份验证仍然是概率性的,并且该概率可能远低于99.9%,这取决于用户身份验证的方法。其次,大多数生物识别技术还没有达到令人满意的概率匹配可信度或保证水平,即生物识别样本是从正确的活的人类中实时收集的,因此,许多IDMS设计了非生物识别身份验证器,通常是第二个密码验证的设备,支持密码。

2022-10-26 16:07:58 435

原创 勒索软件攻击:如何使用加密来保护您的数据

在勒索软件的情况下,一旦威胁行为者能够访问该系统,他们就可以加密敏感数据,并将其劫持作为抵押,直到支付赎金为止。在对增加或降低数据泄露的平均总成本的25个成本因素的分析中,使用高标准加密在降低成本的因素中排名第三。在2021年,勒索软件已经成为一个普遍的、有新闻价值的话题,并成为具有竞争力的重大的国家安全问题。黄金标准的数据加密解决方案不仅将技术堆栈中的数据进行加密,而且提供具有一致策略执行的应用程序白名单和精确访问控制。这些成本可以归因于升级、通知、损失的业务和响应成本,但不包括赎金的成本。

2022-10-25 16:03:43 148

原创 5个提高密码安全性的方法

通过在他们的系统中添加MFA,特别是对于更改密码或通过新设备访问与工作相关的网络和站点等操作,企业可以真正提高他们的安全性。相反,它建议公司使用密码强度计来告诉用户,他们的密码是强是弱。因为通过从员工的一个糟糕的密码决定中窃取一个凭证,威胁参与者就可能会损害整个企业的财务和声誉。是的,它真的很容易造成重大的伤害。每次您在密码安全方面做了看似微不足道的错误时,比如没有创建足够强大的密码或在多个账户上使用相同的密码,就会增加风险。除了来自NIST的许多其他建议和指导方针外,这些都是最常见的和最令人惊讶的建议。

2022-10-24 15:35:24 512

原创 正常运行时间的敌人:过期的SSL证书

尽管更新固件对于确保物联网连接设备群的安全可操作性非常重要,但固件通常是一个不受保护的攻击面,攻击者利用它入侵网络,损害数据,甚至接管对设备的控制,以造成伤害或中断。总之,不安全的固件等同于一个不安全的物联网设备。有效的证书管理策略应该主动监控每个证书,启用自动更新和部署到工作负载和端点,并限制未知、自签名和通配符证书的使用,因为这些证书会增加证书过期的风险和影响。原因就跟我们更新护照、个人身份证和密码一样,证书也有有效期,必须在设定的有效期后进行更新,以确保它们是准确的、最新和可信的。

2022-10-21 16:42:18 140

原创 谷歌正式推出 “密钥登录”,逐步取代传统密码登录

而密钥登录则大为不同,它不能重复使用,也不会泄露服务器漏洞,还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰,即使丢失了手机, FIDO 密钥也可以从云备份安全地同步到新手机。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据,创建密钥的时候需要对本人进行生物特征识别,比如 “指纹” 或者 “面部识别” 等。密钥登录功能的下一个里程碑是原生的 Android 应用 API,原生 API 将为应用程序提供多种登录方式,用户可以选择密钥登录,或是使用已保存的密码登录。

2022-10-20 15:55:18 25

原创 如何解决双因素和多因素身份认证的大问题

基于文本的身份验证不会在某人的号码更改时失败。太多的用户在多个网站重复使用他们的弱密码,威胁行为者窃取了太多的这些密码,并在暗网上提供给其他网络罪犯。其中最常见的组合之一是用户名和密码(用户知道的东西),再加上通过短信发送到用户智能手机(用户拥有的东西)里的消息、链接或代码。这两种预防措施都可以使用多个“身份验证因素”,这些因素可能是用户知道的、拥有的或者是属于他们自身的一部分(比如指纹)。但也还有其他的因素,身份验证因素可以是个人识别码、个人相关的(例如,母亲的娘家姓)、钥匙链、您的脸或许多其他因素。

2022-10-19 16:53:26 152

原创 零信任的7个原则

虽然对零信任的定义没有特别明确,但对一个概念的共同理解是有帮助的,因此,美国国家标准与技术研究所(NIST)发布了NIST SP 800-207零信任体系结构,其中描述了以下7个零信任的原则。每个会话都应严格,以确定设备和身份对您的环境构成的威胁。必须授予对特定资源显性的访问权限,在ZTNA环境中操作的用户甚至不会意识到环境中的应用程序和服务,很难转向你不知道存在的东西。确定您所处的位置、存在的差距、架构、实践和流程如何与上面的零信任原则保持一致,然后制定解决这些问题的计划——最重要的是,接受需要时间。

2022-10-18 16:04:11 207

原创 破解密码的8种典型手段与防护建议

举个简单的例子:如果将哈希的密文比喻成一把锁,暴力破解的方式就是现场制作各种齿轮的钥匙进行尝试能否开锁,这个钥匙可能需要几十亿几百亿甚至更多,耗费的时间无疑非常的长,还不一定能够破解。同时,可以采用“加盐(Salt)”措施,即在密码的特定位置插入特定的字符串,这个特定字符串就是“盐”,加盐后的密码哈希串与加盐前的哈希串完全不同,黑客用彩虹表得到的密码不再是真正的密码。即便黑客知道了“盐”的内容、加盐的位置,还需要对函数进行修改,彩虹表也需要重新生成,因此加盐能大大增加彩虹表攻击的难度。

2022-10-17 16:27:16 619

原创 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它

意识培训是至关重要的,”Callow说。默认信任,这只是人类的本质, 重要的是怀疑主义应该被视为一种积极的员工特征,更重要的是,它是财政责任的标志。的威胁分析师Brett Callow说:“不幸的是,入门门槛比以往任何时候都低,在网络犯罪论坛上以低至几百美元的价格出售易于使用的工具包。”“这些工具包基本上是基于网络的应用程序,即使是低级别的诈骗者也能进行有效的基于模板的网络钓鱼活动。“另一个原因是,网络钓鱼是有利可图的,通过窃取的信息被被用于从BEC诈骗到勒索软件攻击的各种活动,支撑了许多网络犯罪经济。

2022-10-14 16:15:28 29

原创 TLS 电子邮件加密说明 - 如何使用 TLS 加密电子邮件

安全传输层(TLS)是一种加密协议,TLS为一个安全电子邮件服务器“传输”到另一个安全电子邮件服务器的信息提供端到端的加密技术,有助于保护用户隐私并防止窃听或更改内容。TLS是SSL的后续协议。它的工作方式与SSL基本相同,都使用加密技术来保护数据和信息的传输。TLS是一个互联网工程任务组(IETF)的标准协议,在两个通信的计算机应用程序之间提供身份验证、隐私和数据完整性。为了实现邮件内容的最佳安全性和隐私性,在所有处理电子邮件通信的服务器(包括内部服务器和外部服务器之间的跳点服务)之间都需要使用TLS。

2022-10-13 16:06:28 239

原创 虚拟机帮助勒索软件攻击者逃避检测,但这并不常见

他指的是VirtualBox,它通常在这些攻击中使用,作为应该阻止在环境中运行的东西或在其安装或下载不寻常的地方时检测到。他们报告说,在这种情况下,攻击者在一些受感染的计算机上安装了VirtualBox虚拟机,他们使用的虚拟机似乎运行的是Windows7。如果你开始从虚拟机做到这一点,你就会放大那些对这个策略的犯罪分子的另一个负面的时间,“Wisniewski增加了,因为VMS较慢,它是一个映射的网络驱动器,它比计算机本身在计算机身上自然进行加密操作,这是“显着较慢”。“这不应该在服务器上发生”,他说。

2022-10-12 16:19:24 485

原创 如何修复“SSL 握手失败”

SSL握手失败”相对容易修复,只要您知道其潜在原因是什么。该错误可能是由于您的本地设备的设置、服务器配置或CDN存在问题等。您可能需要执行以下操作来修复“SSL握手失败”:更新本地设备的日期和时间。确保您的浏览器支持最新的TLS协议确保您的SSL证书有效检查服务器的SNI配置。暂停Cloudflare以测试您的SSL证书原文来源:WordPress 由沃通WoTrus原创翻译整理,转载请注明来源。

2022-10-11 16:11:15 193

原创 为什么对MFA有如此大的抵抗心理?

当医生谈到电子病历以及她们办公室是如何保护病人信息的,医生介绍所有通常和预期的保障措施,如密码短语、多因素身份验证(MFA)和双因素身份验证(2FA)。医生补充说,如果他需要开某些药物,必须使用多种认证方法——多因素身份验证!对许多人来说,仅仅是使用密码,短时间的密码,都会引起强烈的抵抗心理。认识一些人,他们宁愿永久地登录着他们的电脑,也不愿每天输入密码不止一次,多因素身份验证,似乎会让一些人觉得痛苦。因此,在最近的泰雷兹数据威胁报告中,受访者表示,MFA的使用仅为55%,远低于饱和水平,这也就不奇怪了。

2022-10-10 16:42:52 474

原创 IIS服务器如何导入中间证书或根证书?

许多客户在IIS服务器上绑定SSL证书时提示“证书链的一个或多个中间证书丢失。要解决此问题,请确保安装了所有的中间证书。”,绑定后访问https页面也会提示该证书不是由信任机构颁发的ssl证书,具体解决方法如下:第一步:找到证书文件包中的apache文件夹,里面有一个中间证书,尾缀一般为.ca-bundle,或者ca_bundle.crt、1_root_bundle.crt,这个就是证书文件的中间证书。

2022-10-09 16:20:17 213

原创 SSL和TLS協議如何提供身份驗證、機密性和完整性

SSL 和 TLS 協議使兩方能夠相互識別和驗證,並以機密性和數據完整性進行通信。SSL 和 TLS 協議通過 Internet 提供通信安全性,並允許客戶端/服務器應用程序以保密和可靠的方式進行通信。這些協議有兩層:記錄協議和握手協議,它們位於 TCP/IP 等傳輸協議之上。它們都使用非對稱和對稱加密技術。SSL 或 TLS 連接由成為 SSL 或 TLS 客戶端的應用程序啟動。接收連接的應用程序成為 SSL 或 TLS 服務器。正如 SSL 或 TLS 協議所定義的,每個新會話都以握手開始。

2022-09-29 16:25:18 832

原创 软件供应链中代码签名的重要性

你怎麼知道你的代碼是可信的?在一個難以獲得信任的世界裡,這是一個重要的問題要問自己。我們如何知道我們正在運行的應用程序、我們正在部署的容器或我們交付給客戶的代碼是真實的?我們怎麼知道它沒有被篡改?在本博客中,我們將討論代碼簽名的重要性、正確實施的挑戰,以及 Keyfactor Code Assure 如何讓您在不中斷開發人員工作流程的情況下集中和保護代碼簽名。今天,軟件不僅僅是店面。它是每項業務背後的運營引擎。為了讓引擎像運轉良好的機器一樣運行,我們需要知道我們構建的一切和部署的一切都是可信的。

2022-09-28 17:15:47 144

原创 惡意軟件如何被用來創建偽造的過期證書警報

2021 年 9 月,數字安全專家發現了針對 Windows 用戶的廣泛攻擊。該攻擊使用惡意軟件在網站上發出虛假的過期證書警報,提示用戶下載更新,該更新實際上包含惡意軟件,使黑客可以遠程訪問受感染的計算機。以下是攻擊的執行方式、到目前為止我們對其影響的了解以及如何保護您的組織免受此類威脅的提示。

2022-09-27 15:23:16 222

原创 SSL协议、TLS协议,使用哪一种更安全?

在金融银行业,保护机密信息的安全至关重要。由于财务记录完全通过在线数据库维护,因此实施保护客户、银行和金融机构免受黑客攻击的安全功能比以往任何时候都更加重要。安全套接字层(SSL)协议和传输层安全(TLS)协议,都是有助于保护数据并使您的网站对最终用户更安全的安全协议,这两种协议都是为了提供安全连接而创建的,但哪种对金融银行业最有效呢?SSL 2.0 是 Netscape 在 1995 年开发的原始协议,但在 1996 年很快被 SSL 3.0 取代。

2022-09-26 16:32:39 845

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除