安全 – 第5页小小书 XXshu

使用KeePass存储密码

让我向您展示为什么KeePass比您的基于云的密码管理器更有趣。现在是2018年，密码仍然是我们尚未发现的难题。大型公司通常通过依靠支持Single Sign-on或类似产品的产品来解决此问题。但是个人和较小的公司只能自己管理密码或依靠来自Google，Facebook等的第三方身份验证。我想我不需要解释为什么将所有登录信息都信任一个公司不是一个好主意-特别是在公司的核心业务正在收集有关尽可能多的人的尽可能多的信息时。如果您是一个关心控制登录名并确保登录名安全的人，则需要某种方式来管理大量不同且复杂的密码。这就是为什么有密码管理器的原因。它们可以帮助您记住所有数字服务并为其生成安全密码。将所有登录信息都放在一个地方，只需要记住一个密码，就很好了（请将其设置为安全密码-不要尝试在其中放置太多复杂的符号，而要使其长一些，只用几句就可以了）字）。这不是一个新主意，并且有足够的公司提供可靠的服务来帮助您解决此问题，例如1Password或LastPass。现在，这些服务只有一个小问题：您需要付费，而且它们使您将所有密码都放到一家公司的服务器上，灵活性很小，以防万一您不想再信任它们了。因此，让我们看一下14年的免费开放源代码替代方案：KeePass。如果您认为这看起来很恐怖，那么您就不是一个人了。那么为什么要选择KeePass？ KeePass不仅是免费和开源的，而且很简单。…

宣布启动BugBountyNotes.com！

大家好！已经有很长一段时间了，但是我很高兴地说， BugBountyNotes.com现在已经可以向公众开放！在与HackerOne一起进行实时黑客活动后，我决定编写此代码，并自言自语：所有与赏金相关的东西都没有“浮标”。关于漏洞赏金的讨论（已公开的错误，有趣的技术，程序反馈）通常在Twitter或Slack上进行，如果您是Slack的狂热用户，您会知道，如果您每天不检查邮件，很容易错过消息。我希望改变这一点。就像我说的那样，我对该项目有一些宏伟的计划，而最初的发布是我对其愿景的开始。请分享您可能有的任何反馈/建议🙂 **注意：目前该网站仅支持桌面。我正在努力尽快推出移动版本。有关功能并解释BugBountyNotes内部的内容。 – BugBountyNotes论坛论坛首页如上所述，对于漏洞赏金的讨论确实没有任何“浮点”。我已经创建了一个完整的定制论坛，因此现在可以使用易于查看的方法来讨论与漏洞赏金相关的任何问题，而不会遗漏任何内容，同时允许研究人员进行无偏不倚的讨论。 – BugBountyTraining-挑战！…

欧姆龙工厂自动化流程

地球的美好未来如今，对发展任何人都可以参与的产业的需求日益增长，并且需要促进各地创新的基础设施。我们的目标是通过使任何人都能在任何地方使用高性能产品来丰富世界各地人们的生活。我们还旨在允许许多人参与制造产品。为了做到这一点，无论是对于劳动力短缺的发达国家，还是劳动力大但技术工人不足的新兴国家，都必须使制造实践变得更加容易。通过使各种各样的人从事制造业，我们将消除劳动力短缺，通过提高社会生产力为经济发展做出贡献。 2020年度目标创造可在4个重点行业实现创新自动化的新产品* -创建用于制造创新的控制技术- *数字*汽车*食品*基础设施

如何在PC或Mac上永久安全地删除数据

当您在PC或Mac上删除文件时，通过将其发送到“垃圾箱”中，很容易就认为该文件永远消失了。但实际上，它只是被发送到另一个地方。就像物理垃圾箱一样，只有清空PC的回收站或Mac垃圾箱中的内容后，它们才会被清除。使用相同的类比，如果您已经清空它们已有一段时间了，那么这里有大量的文件和项目供某人窥探。而且，如果您没有适当地粉碎私人文档，那么以后仍然可以找到它们。所有那些删除的信件，财务文件和损坏的照片仍潜伏在计算机上。只需要一点技巧就可以恢复它们。这是怎么回事？删除文件后，操作系统将删除该文件的链接，并将其标记为可用空间。在被新信息覆盖之前，该文件仍将存在于您的硬盘驱动器上。如果考虑硬盘驱动器的大小，可能要过一段时间才能真正删除该文件。这为黑客提供了充分的机会来利用您的敏感数据。并考虑一下您将在eBay上出售的那台旧计算机。您可能会将整个数字生活交给一个陌生人。谁想要那个？永久删除您的数据如果您想认真对待人身安全，则需要永久删除敏感数据。使用诸如Eraser或Blank…

技术提示056 — macOS —快速锁定您的工作站

离开工作站时锁定自己的工作站始终是一个好主意，即使是短暂的一分钟。在Apple台式计算机的系统偏好设置中，当计算机进入屏幕保护程序或进入“安全和隐私”状态时，您可以立即要求输入密码：要立即使计算机进入睡眠状态，只需按Control + Shift +弹出：如果您使用的是没有弹出键的MacBook Air，请考虑设置屏幕保护程序的热角。

原来，我的千禧儿子对愚蠢的航空公司安全视频的反应有很多陪伴

《华尔街日报》昨日在一篇文章《航空公司的乘客：足够的古怪的安全视频》中报道说，飞行人员已经发送了一条信息。飞行开始时，请停止使用愚蠢的战术来提供安全说明。大约一年前，我在LinkedIn上发表了一篇类似的文章，题目是“对成年千禧一代学习风格的思考”，当时我的千禧一代儿子告诉我，他从洛杉矶飞往波士顿的维珍美国航空很棒。但是他可以没有愚蠢的安全视频，因为“一个孩子在哄骗氧气面罩”。他告诉我，他不认为这是培训安全的有效方法。他是一名学习型开发人员的孩子。几年前，达美航空和维珍美国航空开始了古怪的安全视频热潮，当时达美航空员工Katherine Lee以“禁止吸烟”的信息和纪律性的手指摇晃声而成为达美航空（又称Deltalina）的偶像。有时，三角洲的影片添加了尖叫的山羊或向80年代致敬，或者是标志性电影。维珍美国航空聘请了编舞，舞蹈家和奥林匹克运动员。制作航空安全录像带已成为一笔大笔预算交易，一些航空公司定期在录像带中聘请明星来客串客串。看着他们成为一场比赛，看看你能发现什么名人，这是飞机版的《瓦尔多在哪儿》。但是他们在干什么呢？根据《华尔街日报》的文章，航空公司表示，旅客观看娱乐性视频要比标准简报多得多。 “美国航空市场营销副总裁Fern Fernandez说：“它越分层，每次观看时就会看到有些不同，实际上更多的人会聆听并保留它。” 但是这篇文章还报道说，专门研究航空安全的学者的研究表明，人们记住的是笑话，而不是说明。在安全方面，这可能是一个很大的失败。虽然大多数乘客和飞行常客对航空公司的安全说明非常熟悉，但那些不熟悉的人可能会回复到他们更熟悉的反应，例如像在汽车上一样按下按钮来松开安全带，而不是抬起安全带。金属标签。 FAA批准视频仅要求视频包含必要的安全说明，但不研究交付的有效性或对消息的干扰。…

我正在阅读的安全书籍

先学习再学习。这就是我们现在的生活，不断追求知识以赶上我们的同龄人或超越他们，并在其他任何人都无法发现之前发现该错误。我对此表示满意，因为我喜欢阅读并且喜欢这种安全性的东西。最近，我看到一条推文说要跟上您的兴趣爱好，因为作为InfoSec专业人员，您将需要它们。问题是，至少就目前而言，这和我的工作一样重要。我喜欢，我确实做到了。我不能说那永远不会改变，但就目前而言，这是我想做的事情，而不是我要做的事情。我也很喜欢网络开发，最近又从事了第二个工作，为一家拥有33个站点和更多传入站点的无线电集团进行网络开发。我认为技术是我的“麻烦”。因此，本周我想复习所读的内容，甚至还会提出小说推荐作为奖励，并且我希望将其作为每月的内容添加，因为我认为书籍是学习的基础。在我们开始之前，我想说我很感激我得到的所有支持。看着我的读者群上升，看到掌声，吸引新的“粉丝”确实激励着我。非常感谢这个很棒的InfoSec和Medium社区！大家都很开心，我希望我发布的内容能帮助或至少使所有访问的人都感到愉悦，即使这很费力。因此，让我们阅读本月的书。 Web应用程序黑客手册我搜寻了很多很棒的社区，并找到了很多书本清单，每一个新的赏金猎人和InfoSec专业人员都应该阅读这些清单，这是每个……单身清单的顶部。因此，自然而然地是我首先选择的那个。…

不要迟到，请通过安全测试保持警惕– Kevin Colaco –中

不要迟到，通过安全测试保持警惕起点这只是一个由五人组成的质量检查小组。幸运的是，我找到了帮助我成长的出色的前辈和出色的队友。但是话又说回来，我们是一家快节奏的公司。为了确保准时交货，我们经常在安全质量上做出妥协。我们通常认为我们会在最后修复它。因此，当我们建造船时，我们留下了漏洞。这导致了安全测试工具解决方案-NetSparker 概述始终热衷于Netsparker优点的原因之一是，它是如此容易上手。只需输入URL，然后让扫描运行即可，就像这样简单：运行扫描对于匿名访问的公共网站来说，这很好用，但这为用户提供了一种身份验证然后执行操作的功能。我想对也需要授权的服务的安全性配置文件有所了解，因此我点击了“开始扫描”旁边的小箭头，并选择配置表单身份验证。这意味着我现在需要定义登录表单的位置，并提供一个不应通过匿名用户访问的URL。看一下在一次扫描中可配置多少东西以及它涵盖的攻击模式的广度： ·…

安全-人为错误

https://www.patdeen.com/issue/public-safety/ Ada begitu banyak kasus kecelakaan yang terjadi di seluruh belahan dunia。德汉亚kecelakaan克尔贾，kecelakaan transportasi juga banyak terjadi dalam…

重新思考合规培训

为什么我们会忘记我们学到的东西，以及为什么传统的合规培训不能帮助我们变得“合规” 我们都知道，一段时间后我们很难记住我们在训练中学到的东西。如果我们必须学习的东西不是我们在日常工作中应用的东西，那将变得更加困难。对于那些很少应用的稀有知识，这当然不是问题。在这些情况下，性能支持对于在最需要的时候为学习者提供正确的知识块（可能甚至不应该作为初始培训的一部分）提供非常有用的帮助。但是，当人们学习重要知识时，我们如何确保他们保留这些知识呢？例如，员工只需了解的合规性或与安全性相关的内容。对于如何帮助学习者不要忘记他们学到的东西（要记住的重要内容），以便他们可以在工作中运用这些知识，我有一些想法。因为为了使学习更有效率，所以保留知识与首先学习东西一样重要。埃宾豪斯的遗忘曲线 Margie Meacham提到了Hermann Ebbinghaus的遗忘曲线：“如果我们不重复学习，我们的新知识将很快减少加班时间。” 为了解决这个问题，间隔效应（重复知识加班）可以起主要作用。持续合规那么，如果我们要利用这些见识来重新设计合规培训呢？每年训练一次，给他们做一次测试，并称他们为“合格”至少一年是不是一个好主意？我们如何使用遗忘曲线和间隔学习的概念使顺应性成为一个连续的概念，在这个概念中我们既为组织又为个体学习者提供服务？…