欢迎访问 青海seo培训教程_seo轻松上手学习优化技术教程(www.qqeee.net)

网站地图 | 伪原创工具
    青岛庄园SEO--用心做好每一个站!

当前位置:主页 > 网络推广 >

内蒙古自治区seo排名让你的网站与众不同

日期:2019-10-22 分类:网络推广
内蒙古自治区seo排名让你的网站与众不同

  ZDNet的一份报告概述了数十万个CMS插件和PHP库如何使用户面临风险。 上周,ZDNet的Catalin Cimpanu报道了一个由Paragon Initiative Enterprise的Scott Arciszewski首次提出的问题:数量惊人的CMS插件和PHP库正在禁用SSL / TLS证书验证。 更糟糕的是,许多这些插件和库用于建立与支付提供商服务器的连接,这些连接通过它们以后传输敏感用户数据或处理金融交易。 结果是数百万互联网用户与内容管理系统(CMS)上构建的流行网站(如WordPress)进行交互,由于数量庞大的插件的作者配置不当而可能容易受到攻击。 那么,这意味着什么?为什么它会让您感到不安?您可以做些什么来确保您不会无意中危及您的客户? 我们把它哈希吧。 内容管理系统及其插件和库的快速概述 让我们从顶部开始,而不是构建自己的解决方案,许多网站依赖于现成的CMS(如WordPress,Drupal等),可以根据自己的需求进行配置。我们为Hashed Out做到了这一点。SSL Store运行在由我们的开发团队管理的自己的自制CMS上,但鉴于Hashed Out需要每天发布,我们使用WordPress。 许多这些CMS平台最吸引人的特性之一是它们使用插件和库来帮助您避免构建自己的Web应用程序并投入大量额外的开发工作。这些插件的优点是,当它们正常工作时,大多数情况下,它可以节省大量的时间和工作。缺点是你对第三方非常信任,当第三方犯错误时,最终可能会损害你的网站及其用户。 现在我们已经建立了这个,让我们来谈谈这些插件和PHP库出了什么问题。 配置错误的代码和cURL选项 cURL是一个在现代服务器上无处不在的库和命令行工具。它用于与远程服务器之间传输数据,并被捆绑到许多CMS插件和PHP库中。很多时候它优先使用cURL而不是打开一个实际的浏览器会话来建立连接。 cURL支持许多协议,但与此讨论最密切相关的两个是HTTPS和SSL / TLS。 让我们看一个实际的例子。假设您正在运行一个WordPress网站,该网站使用的插件处理支付卡信息传输到支付提供商的服务器。执行此操作的典型方法是通过cURL为HTTPS-cURL配置也将处理连接的SSL / TLS身份验证。 但是,Arciszewski最近发现,许多CMS插件和PHP库的开发人员都在禁用cURL安全功能,因为当使用cURL通过HTTPS连接下载或发送数据时...... 这显然是有问题的,因为禁用以下任一设置可能会导致无数问题。 第一个设置是“CURLOPT_SSL_VERIFYPEER”,应设置为TRUE(或值为1)。不幸的是,其中许多插件都将其设置为False(0),这意味着它已被禁用,并且cURL不再验证与其连接的网站的URL。我真的觉得这个句子不需要很多额外的背景来让任何人理解为什么那会非常危险。 字面上,当“CURLOPT_SSL_VERIFYPEER”设置为false时,网站唯一需要cURL连接它的是有效的SSL / TLS证书。无论谁发布它,无论是否是来自任意数量的免费CA的免费DV,只要它有效然后cURL将连接。 另一个错误配置的cURL设置是“CURLOPT_SSL_VERIFYHOST”。这也依赖于一个值。应将其设置为2,这需要对服务器的SSL / TLS证书进行更严格的验证。许多插件将其设置为0,这意味着cURL甚至会接受自签名证书。同样,不需要太多的背景来理解为什么这是危险的 - 特别是当我们谈论支付插件时。 [ H / T到丹希利的纠正 ] 为什么会发生这种情况,我该怎么办? 让我们从为什么开始。对于这些插件和库的作者而言,这并不是一种恶意行为,而是一种避免行为的行为。当这些插件和库配置更多的安全第一焦点时,它们往往会产生许多错误,正确地警告用户。这很糟糕,特别是当转换率挂在余额中时。 因此,为了避免错误消息和警告的负面影响,这些作者认为无知是幸福并且禁用这些功能以避免引起场景。 正如Arciszewski所解释的那样,这些错误的原因是cURL需要根据已知和有效的SSL / TLS证书列表来验证远程HTTPS服务器的证书。允许颁发SSL / TLS证书的真实证书颁发机构 - 组织列表可在许多地方下载。遗憾的是,一些Web托管服务根本不存储此列表,而许多Web托管服务将其存储在不同的服务器位置,因此无法以通用方式为所有服务器无缝地配置CMS插件和PHP库的cURL设置。 作为修复,Arciszewski创建了一个名为Certainty的自定义PHP库,它定期从cURL主页下载一个名为CACERT.pem的文件,并在本地托管它,以便所有网站始终都有一个最新CA列表。 对我来说这样一个有可能真正灾难性的问题总是很有趣,可能源于一个简单的事情,就像服务器上没有有效的CA列表一样。 但是,如果您在CMS上运行您的网站并且您担心自己的某个插件可能出现问题,请给Scott的解决方案一个机会。你绝对不能破坏你的SSL / TLS加密。

内蒙古自治区seo排名让你的网站与众不同
关键词: 内蒙古自治区,seo,排名,让,你的,网站,
blogger

SEO接单服务

博客统计

  • 共有文章:2130篇
  • 文章阅读:262170人次
  • 今日更新:篇
青岛庄园SEO专业排名优化,seo搜索引擎快速排名,关键词优化,快速上首页.高效率的团队解析排名算法,运用正规白帽技术,模拟人工手操,提升网站流量转化率,为企业排名优化迎帆启航
sitemap地图 | 在线投稿
Copyright © 2002-2017 版权所有

信用卡

上海公关

长沙公关

360公关

希万舆情

海口舆情

红警公关

QQ
QQ在线咨询
SEO优化热线
1377-3668-165
手机扫一扫 与博主直接沟通