MQ”或“启动日志解决方案
但典型的场景是“启动数据库”、“启动MQ”或“启动日志解决方案”。在您将附加内容添加到您的帐户后,您可以连接到所选的数据库、MQ、日志解决方案或其他任何东西。
作为Heroku插件的集成据称很简单,Heroku怎么做。然而,也有一些陷阱,所以我想分享我在提供我们的服务方面的经验。Heroku的加载项。
两者都是SaaS(一个是日志记录解决方案,另一个是云数据存储),所以当Heroku客户想要将它添加到他们的帐户时,我们必须为他们创建一个帐户。
为了与Heroku集成,需要实现几个端点:
- 供应-资源的初始创建(=帐户)
- 计划更改-由于heroku支持多个订阅计划,这也应该反映在您的终端上。
- 取消-如果用户停止使用您的服务,您可能需要释放一些资源。
- SSO-允许用户通过单击Heroku控制台中的图标登录您的服务。
几个重要的部分:
https://www.imdb.com/list/ls501518774/
- 如果不打算进一步与HerokuAPI交互,则可以选择不获取令牌。
- 我们正在用一封伪造的电子邮件注册用户,电子邮件的形式是<ResourceId>@heroku.com。但是,您可以选择使用令牌获取团队成员和协作者的电子邮件
- 最重要的数据是
resource_id-将其存储在用户(或组织)表中,并考虑添加索引以快速检索记录。 - 作为供应请求的一部分返回您的密钥和机密。它们将被设置为Heroku中的环境变量。
- 除了SSO调用之外,所有请求都是直接从Heroku服务器向您的服务器发出的。它在浏览器中被调用,因此您应该在响应中设置会话cookie/令牌。这样,用户将登录到您的服务中。
- 生成附件清单时,请确保更新端点URL。
完成之后,alpha版本就会出现在市场上。然后,您应该有一些alpha用户来测试这些附加组件,然后才能在市场上看到它。
https://movie.douban.com/people/244742021/
将SaaS解决方案与现有云提供商集成是一件好事,我很高兴Heroku提供了一种自动化的方法。(例如,AWS也有一个市场,但那里的集成感觉有点奇怪和不完善(我碰到了一些由AWS团队手动解决的问题)。
由于许多公司选择IaaS或PaaS作为他们的服务,因此能够轻松地集成附加服务是非常有用的。我甚至会进一步建议云附加组件的水平标准化,但我想时间会告诉我们是否真的需要它,或者我们可以为每个提供商腾出几天时间。
我一直在做一些数据保护咨询以及一个并决定对数据泄露的类型进行分类,并就如何解决这些问题提出建议。我们并不总是知道这些漏洞是如何发生的,但从新闻文章和“死后”中发表的信息来看,我们可以很好地了解漏洞的情况。
控制目标服务器-如果攻击者能够连接到目标服务器并获得完全或部分控制权,他们可以做任何事情,包括运行SELECT * FROM ... 、复制文件等。攻击者如何获得这种控制?在许多方面,最突出的是RCE(远程代码执行)漏洞和弱管理身份验证。
如何预防?遵循最佳安全实践--定期更新库和软件以获取安全补丁,不要从应用层运行本机命令,只向外部开放必要的端口(80和443),为管理员登录配置2因素身份验证。目的是密您的数据,并使加密尽可能细粒度对最敏感的数据(例如,SentinelDB我们利用每个记录的加密)来避免SELECT *违规行为。
https://www.imdb.com/list/ls085947431/
是新秀的错误,不幸的是,这种错误仍在发生。它允许攻击者操作SQL查询,并在其中注入自定义位,从而使攻击者能够提取比预期更多的数据。
如何预防?使用准备好的语句进行查询。永远不要为了构造查询而连接用户输入。运行常规代码评审,并使用代码检查工具来捕获此类实例。
未加密备份-主要系统可能受到很好的保护,但攻击者通常是在寻找薄弱环节。存储备份可能是这样的--如果您存储通过弱身份验证(例如,通过用户名/密码通过FTP)访问的未加密备份,那么可能有人试图攻击这个薄弱点。即使备份是加密的,密钥也可以放在它旁边,这使得加密几乎毫无用处。
如何预防?对备份进行加密,以与服务器一样受到严格保护的方式存储备份(例如,2FA,仅限内部网络/VPN),并将解密密钥存储在硬件安全模块(或相当于AWS kms)中。
日志中的个人数据-备份之外的另一个弱点可能是您的日志。他们通常躺在单独的服务器上,而且没有得到很好的保护。这通常是可以的,因为日志不包含个人信息,但有时也包含个人信息。我最近偶然发现了一家大公司的网站,其目录结构不受保护,他们将访问日志文件与静态资源放在一起。此外,他们还将个人信息作为get参数传递,这样您就可以通过获取访问日志获得大
浙公网安备 33010602011771号