阿里云:网传“可重置恣意阿里云处事器root暗码”为卖弄信息
|
1. 为每个App用户揭晓满意“最小权限+最短时效”的Token。好比,App用户厨子只需会见oss://mybucket/hangzhou/<厨子>/ 这个目次,只必要会见1次,那么就为厨子的App揭晓满意这一权限和最短时效的Token。 2. AppServer获取Token后,通过安详链路(如HTTPS)将Token转达给App。 3. App行使Token会见云上客栈(如OSS)。 下面我们来简朴说明下安详性: (1) 假如AppServer被进攻,黑客获取小AK,然并卵。起首,这个小AK不具备直接会见OSS数据的权限,它只能被用于挪用STS获取Token。其次,黑客假如先通过STS获取Token再用Token会见OSS的话,也不行行的,由于小AK是受源IP限定的,无法在公网上恣意行使;纵然黑客知道这个受信的IP列表,实验ip spoofing进攻的难度也很大,由于公网路由器根基上城市做reverse path filter。 (2) 假如App用户厨子是个Geek,她能猎取到的全部奥秘也就是一个“最小权限+最短时效”的Token,然并卵。由于这个小Token只能会见厨子本身应该会见的数据,猎取到这个Token并不能举办提权进攻。假如她存心把这个Token泄暴露去,那就是搬石头砸本身的脚。 以是,提议乌云君陈诉里提到的“敢聊”,可以试试阿里云的OSS + STS办理方案,绝对可以确保App用户的照片和语音等隐私数据不会泄漏。 欲知更多安详姿势,请移步云产物安详最佳实践。 结语 有云的处所就有恩仇,有恩仇的处所就有江湖,云就是江湖。上云,照旧要多备些安详锦囊,以防患于未然。 相干阅读: 百度京东发力云计较,可否“C位出道”? 营收超预期甲骨文加快云计较机关,自主数据可否成为“杀手锏”? (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
