安全是有分量的

服务器防ddos_ddos防护服务_精准

2021-05-05 12:06栏目:动态

服务器防ddos_ddos防护服务_精准

领先的云存储提供商Dropbox可以说是自2007年推出以来最糟糕的一个月,但拥有超过5亿用户,这项无处不在的服务和信任它的用户之间的严重问题才刚刚开始显现,这多少有些令人惊讶。首先,Dropbox在几周前发布的一份声明让人联想到LinkedIn最近的一次数据泄露惨败,在此前披露的2012年数据泄露事件中,云DDOS防御原理,超过6800万封电子邮件和密码被泄露。现在,安全专家批评苹果公司误导OSX用户向他们的系统授予管理员密码访问权限和根用户权限。当云服务提供商在安全问题上"置身事外",或者更糟的是,当他们的行为直接危及到他们本应保护的用户时,消费者有什么办法?Dropbox早在2012年就宣布,涉及窃取用户数据的数据泄露仅限于电子邮件地址。然而,美国高防cdnhostloc,最近披露的信息促使该公司披露,6800多万个散列和加盐的密码以及电子邮件被泄露。与LinkedIn数据泄露事件类似,批评人士对Dropbox披露漏洞的严重程度表示强烈不满。不过,这家云存储提供商这次似乎又一次遭遇惨败,因为该公司对自己的用户积极违反了信任。9月9日,来自Hacker News和Twitter的消息显示,Dropbox Mac桌面客户端可以通过Mac的Accessibility权限列表获得根系统访问权限,而无需首先请求用户的许可。这些最新的发展无疑引起了人们对云存储提供商建立的安全机制以及云供应商的信任程度的质疑。UpGuard安全评级是否提供有关云存储提供商的安全适合性、可信度和企业弹性的线索?让我们看看每个供应商的网站外围安全机制是如何组合起来的云存储提供商综述我们首先与市场份额最大的两家云存储提供商Dropbox和Box进行比较,然后是其他同类产品中的领先产品,其中一些产品被称为"安全"云存储提供商,并将强大的安全性/隐私性作为其主要区别1箱号:912/950Box位于加利福尼亚州红杉城,是一个面向企业的云内容管理和文件共享服务。官方客户端和应用程序可用于Windows、macOS和多个移动平台。Box成立于2005年。截至2020年6月4日,Box存在以下安全问题:HSTS头不包含includeSubDomains:inclduSubDomains指令指示浏览器也在该域的子域上实施HSTS策略。在HSTS预加载列表中找不到域:首次访问该网站的用户将容易受到MITM攻击。预加载列表中包含的要求由hstspreload.org网站.DNSSEC未启用:DNSSEC记录阻止第三方伪造保证域身份的记录。应为此域配置DNSSEC。在这里查看Box的完整安全配置文件2Tresorit-950分中的903分Tresorit是一个位于瑞士和匈牙利的在线云存储服务,它强调为企业和个人/自由职业者提供增强的安全性和数据加密。截至2020年6月4日,Tresorit存在以下安全问题:未使用安全cookies:如果不使用安全cookie,则第三方拦截这些cookie中包含的信息的风险会增加。应更改网站配置,安全狗防御ddos,以便所有"Set Cookie"标头都包含"secure"。Tresorit的一位代表提出,由于Tresorit使用预装的HST,这意味着"Cookie从不通过HTTP传输,只能通过HTTPS传输,因此不使用安全Cookie不会增加风险。所有主流浏览器都支持HSTS预加载,如所示https://hstspreload.org/以及https://caniuse.com/#壮举=stricttransportsecurity,免流专用ddos防御脚本,意味着所有主要浏览器(Chrome、Firefox、Opera、Safari、IE 11和Edge)都会自动与tresorit.com网站通过HTTPS。"请参阅Tresorit的完整安全配置文件。三。Dropbox-950中的846个Dropbox是一家由总部位于加利福尼亚州旧金山的美国公司Dropbox,Inc.运营的文件托管服务,提供云存储、文件同步、个人云和客户端软件。Dropbox成立于2007年,由麻省理工学院的学生Drew Houston和Arash Ferdowsi创立,最初由种子加速器Y Combinator提供资金。截至2020年6月4日,Dropbox存在以下安全问题:不安全的SSL/TLS版本可用:SSL协议的任何版本以及1.2之前的TLS现在都被认为是不安全的。服务器应该禁用对这些旧协议的支持。未使用HttpOnly cookies:当不使用HttpOnly cookies时,可以在客户端访问cookies,这将启用某些类型的客户端攻击。应更改网站配置以强制执行HttpOnly cookies。查看Dropbox完整的安全配置文件4碳酸岩-846/950Carbonite是一家OpenText公司,它提供了保护数据免受最常见的数据丢失形式的所有必要工具,包括勒索软件、意外删除、硬件故障和自然灾害。从自动计算机备份到物理和虚拟服务器环境的全面保护,Carbonite可确保任何系统的数据可访问性和可恢复性。截至2020年6月4日,Carbonite存在以下安全问题:未使用HttpOnly cookies:当不使用HttpOnly cookies时,可以在客户端访问cookies,这将启用某些类型的客户端攻击。应更改网站配置以强制执行HttpOnly cookies。HSTS头不包含includeSubDomains:inclduSubDomains指令指示浏览器也在该域的子域上实施HSTS策略。在HSTS预加载列表中找不到域:在HSTS预加载列表中找不到该域。首次访问该网站的用户将容易受到MITM攻击。预加载列表中包含的要求由hstspreload.org网站.请参阅Carbonite完整的安全配置文件。5背板-950分中的827分Backblaze是一个数据存储提供程序。它提供两种产品:B2云存储——一种类似于Amazon的S3的对象存储服务。计算机备份-一种在线备份工具,允许Windows和macOS用户将其数据备份到异地数据中心。截至2020年6月4日,Backblaze存在以下安全问题:HSTS头不包含includeSubDomains:inclduSubDomains指令指示浏览器也在该域的子域上实施HSTS策略。在HSTS预加载列表中找不到域:在HSTS预加载列表中找不到该域。MITM网站的第一次访问将是易受攻击的用户。预加载列表中包含的要求由hstspreload.org网站.DMARC策略为p=无:DMARC策略为p=无。这无法防止欺诈电子邮件。DMARC策略应该迁移到p=隔离区,最终p=拒绝。SPF策略使用~all:Sender policy Framework(SPF)记录在允许哪些域代表域发送电子邮件方面过于宽松。此记录最好不要使用~all机制,因为这不会指示邮件接收者拒绝来自未授权来源的消息。如果未强制执行DMARC,则应在SPF记录上使用-allDNSSEC未启用:DNSSEC记录阻止第三方伪造保证域身份的记录。应为此域配置DNSSEC。未启用域注册器删除保护:域不受注册器的未经请求的删除请求的保护。域应设置clientDeleteProhibited。未启用域注册器更新保护:域未受到来自注册器的未经请求的更新请求的保护。域应设置clientUpdateProhibited。请参阅Backblaze完整的安全配置文件。6SugarSync-950个中的827个SugarSync是一种云服务,支持跨计算机和其他设备主动同步文件,局域网内有ddos攻击防御,以便从各种操作系统(如Android、iOS、macosx和Windows设备)备份、访问、同步和共享文件。对于Linux,只有一个已经停止使用的非官方第三方客户端可用。截至2020年6月4日,SugarSync存在以下安全问题:不安全的SSL/TLS版本可用:SSL协议的任何版本以及1.2之前的TLS现在都被认为是不安全的。服务器应该禁用对这些旧协议的支持。HTTP严格传输安全(HSTS)未强制实施:没有实施HST,浏览此站点的用户更容易受到中间人攻击。服务器应配置为支持HSTS。请参阅SugarSync完整的安全配置文件7IDrive-950分中的798分IDrive公司是一家专门从事数据备份应用的技术公司。它的旗舰产品是IDrive,这是一种面向Windows、Mac、Linux、iOS和Android用户的在线备份服务。截至2020年6月4日,IDrive存在以下安全问题:HSTS头不包含includeSubDomains:inclduSubDomains指令指示浏览器也在该域的子域上实施HSTS策略。在HSTS预加载列表中找不到域:在HSTS预加载列表中找不到该域。首次访问该网站的用户将容易受到MITM攻击。预加载列表中包含的要求由hstspreload.org网站.DMARC策略为p=无:DMARC策略为p=无。这无法防止欺诈电子邮件。DMARC策略应该迁移到p=隔离区,最终p=拒绝。SPF策略使用~all:Sender policy Framework(SPF)记录过宽