Khác với database Redis ở bài trước chỉ chứa những dữ liệu phân mảnh, cache, không cấu trúc và khó tìm kiếm phân loại thì Elasticsearch nguy hiểm hơn ở nhiều cấp độ. Mình có thể tự tin nói rằng hơn 95% dữ liệu được index trong Elasticsearch là dữ liệu quan trọng về người dùng, doanh thu, kháchh hàng, các thiết bị, lượng truy cập, log,... mà bên quản lý sẽ cần để truy xuất và tạo report.
Bài viết đầu năm xin gửi đến những bạn làm hệ thống, hãy luôn kiểm tra và theo dõi hệ thống của mình một cách sát sao nhất có thể. Mọi việc bắt đầu khi mình có tài khoản Shodan.io 🔗 nhờ deal 1$ lifetime 🔗 và thật sự không biết làm gì sau khi mua nó. Sau một hồi dùng thử và định bỏ cuộc, mình nhận ra Shodan có sẵn một số preset tìm kiếm, trong đó bao gồm các hệ cơ sở dữ liệu. Mình chọn ngay Redis vì cách access rất đơn giản, thông thường không được bảo vệ bằng mật khẩu và kết quả không làm mình thất vọng.
Trong bài viết về Content Security Policy 🔗, nhận thấy bạn đọc vẫn cần một bài viết đầy đủ về các loại header bảo mật giúp đạt điểm cao trên SecurityHeaders 🔗, vì thế mà mình đã xem qua, tổng hợp và sẽ chia sẻ đến các bạn ngay sau đây. Khi mọi người, đặc biệt là các quản trị viên của website quan tâm hơn về vấn đề bảo mật của website và sự riêng tư của người dùng thì đó là niềm vui lớn nhất của mình.
Giao thức HTTPS đã phổ biến đến mức chúng ta mặc định việc lướt web, truy cập các ứng dụng đã an toàn và có thể tin tưởng để sử dụng. Tuy nhiên, có một loại truy vấn vẫn chưa được nâng cấp từ khi World Wide Web xuất hiện và luôn đứng trước mối nguy hiểm rình rập, đó là truy vấn DNS (DNS query).
CSP (Content-Security-Policy) hay nói rõ hơn là Content Security Policy header hiện đang dần trở nên phổ biến hơn bao giờ hết. Tuy nhiên, hiện tại mình chỉ thấy Thế giới di động 🔗 là một trong những website lớn tại Việt Nam triển khai CSP trên website của mình, còn lại thì rất ít. Vậy CSP là gì và tại sao chúng ta nên dùng nó?