服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 单个IP地址访问我正在发送的电子邮件中的私人url
Intereting Posts
两个KVM虚拟机之间的专用networking 可扩展的数据库体系结构,适合重读和重写? relay_domains似乎被后缀忽略 使用wevtutil归档事件日志不适用于某些来源 在Ubuntu上中断了从AS400到pure-ftpd的传输 在Chef中组织代码:库,类和资源 Linux对等以太网绑定 LSI MegaRaid SAS 9271-4i – 2012R2更新后的“升级密钥丢失” Websockets和防火墙 获取安全访问计算服务器 DC上的Exchange 2007需要降级 最有效的方法是每天使用cgi服务less于10个http请求 Tc:入口pipe制和ifb镜像 Server 2012的Windows更新不能正常工作 GPO:Windows防火墙例外 – 仅启用一个目标IP(LAN Guard)

单个IP地址访问我正在发送的电子邮件中的私人url

我是一家小型翻译公司的IT /程序员。 我只是发送电子邮件给我们在世界各地的翻译人员,他们有一个唯一的URL来到我们的网站并更新他们的密码。 例如: http : //mysite.com/update/080F9326-491D-11E0-B806-D028DFD72085

唯一的url可以让任何人获得完整的访问权限; 所以我已经PGPencryption所有的电子邮件(我们有一个公钥在我们的数据库中的每个翻译)。

这是一个奇怪的位:

  • 5分钟后,我发送了电子邮件例外开始进入
  • 我的代码中存在一个导致exception的错误(do'h!)
  • 查看通过IIS日志1 IP地址访问所有唯一的URL – maxmind.com说IP是在俄亥俄州哥伦布市

这些链接被打得太快,不能成为预期的收件人。 我知道黎巴嫩的一位翻译朋友在他的链接被打时没有收到邮件。

有没有人见过类似的东西?

这是我会做,并检查:

(所有这一切都取决于你是多么偏执狂,数据的真实性如何保密),翻译下一篇ueber-web-facebook-flash-game并不像翻译法律部门那样打算保密国际毒品袭击和需要传递信息)

  • 首先和最重要的是:使发送的所有URL无效
  • 密码保护一切,但不告诉任何人的密码

事情在你的控制之下

  • 是真的encryption的消息(也许只是签署)
  • 检查是否为恶意软件encryption的机器(它是否是可公开访问的网关,是否是真正的端到端encryption)
  • 某人有权访问私钥而不使用恶意软件:
    • 重复该过程并检查日志
    • 用新密钥重复这个过程并检查日志 – 告诉收件人有关新密钥
    • 用新密钥重复该过程并检查日志 – 不要分发新密钥

事情不在你的控制之下

  • 恶意软件在任何收件人机器上

找出谁是坏人

  • 发送一个唯一的所谓的安全的URL到每个人未encryption的问题
  • 发送一个唯一的所谓的安全的URL给每一个有问题的人encryption – 这是真正的可选

(对不起,但发出一个由GPG不受保护的url就像发出一个明文保护的URL一样 – 脚本小子会发现的东西 – 保护在服务器端是我的经验更有价值的业务,因为你有更多的控制权)

最后

我有一个朋友非常自豪地坚持使用PGP来处理所有的邮件。 这是他不知道,他发现他不小心出口了他的私钥,并不断地发送,而不是公钥 – 这在当时很有趣,但你永远不知道是什么打你(现在不是我,我我目前懒得用PGPencryption我的邮件并向客户解释,我通常使用一些encryption的ZIP文件或其他非技术人员可以使用的东西,而无需解释)

为您的翻译人员实施一次性密码。 通过蜗牛邮件向他们发送新的东西。

另外,我还假设你有一个书面同意,不要把东西拿走,而且你绝对相信有一些技术背景的人不是巧合接受encryption的邮件,而是自动地做一些其他的事情。

同样(再次),任何收件人都有分包商做实际工作和邮件被转发的可能性(可能需要解密它的密钥)

最后但并非最不重要的:有一个叫做移动访问的东西,你是否给每个人一个电话,以确保它不是从你没有预料到的地方有效访问?