2. 安全措施
加密传输中的数据
所有到彩神大发集中的流量都通过ssl加密连接, 彩神大发只接受通过端口443的流量. 可以找到SSL配置的报告 在这里.
在第一次访问网站时, 彩神大发集中向用户代理发送严格传输安全报头(HSTS), 确保所有未来的请求都将通过HTTPS进行. 即使将指向彩神大发集中的链接指定为HTTP.
加密静态数据
所有存储在彩神大发集中系统中的数据都是加密的. 存储在彩神大发的数据库系统或文件系统中的信息使用行业标准AES-256加密算法进行加密. AWS在其冗余的全球分布式密钥管理服务中存储和管理数据加密密钥.
这意味着即使入侵者能够访问任何物理存储设备, 如果没有密钥,其中包含的数据仍然无法解密, 使信息变得无用.
AWS安全实践
彩神大发集中使用Amazon Web Services (AWS)来存储用户数据. 这些服务器经过反复评估,以确保符合最新的行业标准, 持续管理风险. 通过使用AWS作为彩神大发的数据中心,彩神大发的基础设施获得了以下认证:
- ISO 27001
- SOC 1和SOC 2/SSAE 16/ISAE 3402(以前的SAS 70 II型)
- PCI Level 1
- C5运行安全
- 存在高
- IT-Grundschutz
可以找到有关AWS安全性的更多信息 在这里.
密码策略和存储
要访问彩神大发集中,您需要提供至少6个字符的强密码. 彩神大发不以明文形式存储这些用户密码, 彩神大发只使用开源审计Bcrypt存储单向加密的密码哈希值, 包括每个用户随机盐. 这可以保护用户免受彩虹表攻击和加密密码匹配.
如果用户连续多次输入错误密码, 该帐号将被暂时锁定,以防止暴力攻击. 以进一步保护帐户访问, 用户可以通过用户帐户安全设置,使用Google Authenticator或Authy激活双因素身份验证.
请求节流和跟踪
彩神大发阻止来自已知的、易受攻击的IP地址或范围的请求.
来自相同IP的请求被限制和速率以避免潜在的误用.
XSS和CSRF保护
阻止跨站脚本攻击(XSS), 默认情况下,后端应用程序中的所有输出在到达浏览器之前都会进行转义,这可能会导致XSS攻击. 彩神大发避免使用返回原始数据, 因为这可能会导致不需要的数据被发送到浏览器.
彩神大发的应用程序阻止不是来自彩神大发自己域的请求。, to help reduce the risk of Cross Site Request Forgery (CSRF) attacks; For important actions, 彩神大发还使用csr令牌.
最后, 彩神大发已经实现了内容安全策略(CSP) HTTP头, 哪些资产(javascript)被列入白名单, 图片, 样式表, 等.)用户的浏览器应该允许加载和执行. 正确实现的CSP标头可以消除任何恶意javascript (XSS攻击), 精心制作的文件伪装成图像, 类似的攻击基于浏览器对所服务资产的信任.
道德黑客计划
彩神大发建立了一个道德黑客项目与 Intigriti.com. 正如彩神大发所说, 一组独立的安全专家正在不断地测试彩神大发应用程序的安全性, 这能帮助彩神大发发现并消除潜在的弱点.
组织
彩神大发的团队使用强力, 彩神大发集中帐户的唯一密码,并为他们使用的每个设备和服务设置了双因素认证. 鼓励所有彩神大发集中员工使用密码管理软件(LastPass), 1密码, )生成和存储强密码.
彩神大发还确保加密本地硬盘驱动器和启用自动屏幕锁定. 对应用程序管理功能的所有访问仅限于选定的一组人员.