Tag Archives: security

Cùng học Cờ Lao – Azure Phần 4.1: Azure App Service là gì? Nó có gì hay ho?

Ở kì trước, chúng ta đã deploy một ứng dụng đơn giản trên máy ảo rồi.

Trong phần 4 này, chúng ta sẽ tìm hiểu về Azure App Service, cũng như thực hành deploy ứng dụng lên Azure App Service một cách nhanh hơn, tiện hơn, nhẹ nhành hơn nha!

Continue reading Cùng học Cờ Lao – Azure Phần 4.1: Azure App Service là gì? Nó có gì hay ho?

Advertisements

Thực hư chuyện Facebook lưu mật khẩu dưới dạng text, để lộ mật khẩu trăm triệu người dùng?

Cách đây vài hôm, giang hồ rộ lên vụ Facebook lưu trữ mật khẩu người dùng dưới dạng plain text, nhân viên cũng có thể đọc được.

Vốn tò mò, mình tự hỏi: Tại sao một công ty lớn như Facebook lại có thể phạm phải một lỗi sơ đẳng như vậy được? Tìm hiểu sâu hơn, mình lại tìm hiểu thêm được 2 điều khá hay:

  • Cách Facebook bảo vệ mật khẩu của người dùng
  • Một lỗi bảo mật nghiêm trọng về mật khẩu, mà cả Facebook lẫn Twitter từng mắc phải

Tò mò chưa nào, các bạn đọc bài viết sẽ biết nhé!

Continue reading Thực hư chuyện Facebook lưu mật khẩu dưới dạng text, để lộ mật khẩu trăm triệu người dùng?

Review sách – The Art of Invisibility – Nghệ thuật tàng hình trong thời đại Big Data

Gần đây, sau vài vụ lùm xùm về dữ liệu người dùng, về chuyện lộ thông tin trên mạng, dân tình mới bắt đầu quan tâm tới chuyện thông tin cá nhân của mình có bị thu thập/bị lộ hay không.

Hồi trước, mình đã có một bài viết về bàn tay vô hình của Facebook, Google dõi theo mọi dấu chân của bạn! Hôm nay, mình sẽ giới thiệu một cuốn sách khá hay mang tên The Art Of Invisitility – Nghệ Thuật Tàng Hình trong thời đại Big Data.

Link Tiki bản tiếng Việt cho các bạn muốn mua https://shorten.asia/SbwW2T93

Continue reading Review sách – The Art of Invisibility – Nghệ thuật tàng hình trong thời đại Big Data

Mỗi tháng một cuốn sách – Những sách hay mình đã đọc trong năm 2018 – Phần 1

Từ khi ra trường, mình vẫn luôn giữ thói quen đọc sách, vừa để giải trí vừa để học hỏi cái mới.

Để khuyến khích thói quen đọc sách, cũng như chia sẻ sở thích với một số bạn, bài viết này sẽ là review tổng hợp ngắn những cuốn sách hay nhất mình đã đọc trong năm vừa rồi.

Mỗi tháng mình đọc khoảng 3-6 cuốn sách. 12 cuốn sách dưới đây là 12 cuốn sách hay nhất mà mình đọc được mỗi tháng. Các bạn có thể xem toàn bộ danh sách ở cuối bài nhé.

Năm 2015, 2016 và 2017 mình cũng có bài review tương tự, các bạn có thể xem ở đây:

Continue reading Mỗi tháng một cuốn sách – Những sách hay mình đã đọc trong năm 2018 – Phần 1

Series Bảo Mật Nhập Môn – Quản lý người dùng – Tưởng dễ ăn mà không đơn giản

Website được tạo ra là để phục vụ người dùng. Có người sử dụng thì website và doanh nghiệp mới có thu nhập. Một trong những việc rắc rối nhất chính là quản lý và bảo mật thông tin người dùng.

Trong bài này, mình chia sẻ những điều cần lưu ý khi thực hiện tính năng này. Khá nhiều khê và phức tạp đấy, các bạn chịu khó đọc kĩ nhé!

Úi giời! Đăng kí đăng nhập có gì khó?

Không như bạn tưởng tượng, việc đăng kí/đăng nhập và quản lý người dùng thật ra không hề đơn giản. Nó có thể trở nên khá loằng ngoằng với những tính năng sau:

  • Cho phép người dùng đăng kí, đăng nhập bằng email
  • Phân quyền người dùng
  • Tích hợp với Gmail, Facebook
  • Tích hợp với hệ thống người dùng có sẵn trong doanh nghiệp
  • Reset mật khẩu khi người dùng quên
  • Block account khi người dùng nhập sai pass nhiều lần
  • Bảo mật cho API với app di động
  • Bảo mật 2 lớp (Two factor authentication) với các account quan trọng
  • Quản lý: Thêm bớt xoá sửa người dùng

screen-shot-2016-11-08-at-4-40-45-pm

Khi tính năng này hoạt động ổn định, không ai khen nó lấy một câu. Tuy nhiên, chỉ cần nó gặp phải chút vấn đề, cam đoan bạn sẽ hứng chịu vô số cơn thịnh nộ từ khách hàng.

Continue reading Series Bảo Mật Nhập Môn – Quản lý người dùng – Tưởng dễ ăn mà không đơn giản

Lozi.vn đã “vô ý” để lộ dữ liệu 2 triệu người dùng như thế nào

Trong quá trình viết series Bảo mật nhập môn, mình vẫn hay đi nghịch dạo, tìm lỗi bảo mật dạo theo tinh thần “code dạo” của blog. Lẽ tất nhiên, đã tìm lỗi thì phải tìm các trang to to, nhiều người dùng một tí, chứ trang nho nhỏ thì ai quan tâm.

Là developer, mình không đủ giỏi về mạng hay hạ tầng để có thể tấn công server hay DDOS gì gì đó. Vì vậy, mình quyết định chỉ kiểm tra web và app, hai thứ mình rành nhất. Việt Nam nói là làm, mình bắt đầu truy cập website của app của 1 số ông lớn như tiki, lazada, foody….

screen-shot-2016-11-25-at-11-46-14-pm

Việc dò lỗi cũng giống như câu cá vậy, đôi khi câu được cá bự, đôi khi câu cả buổi không được con nào. Kì này, mình câu được một con cá nho nhỏ mà… nguy hiểm của lozi.vn.

Continue reading Lozi.vn đã “vô ý” để lộ dữ liệu 2 triệu người dùng như thế nào

Series Bảo Mật Nhập Môn – CSRF – Những cú lừa ngoạn mục

Trong Tam Quốc, các bậc quân sư tài năng có tài điều binh khiển tưởng, ngồi trong trướng bồng quyết thắng cách đó hàng ngàn dặm.

Trong Tu Chân, các cao thủ có chiêu “Cách Không Thủ Vật” điều khiển đồ vật từ xa, hoặc “Ngự Kiếm Phi Hành”, dùng chân khí để điều động phi kiếm hay pháp bảo.

Ngày nay, hacker cũng có “chiêu thức” tương tự gọi là CRSF. Hacker có thể ngồi tại website A mà dụ dỗ người dùng tấn công site B và site C khác.

Bài viết này sẽ giải thích cách hacker tấn công, đồng thời hướng dẫn cách phòng chống cho các bạn lập trình viên nhé.

Continue reading Series Bảo Mật Nhập Môn – CSRF – Những cú lừa ngoạn mục