問題タブ [stig]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - DoD パスワードの複雑さ: ユーザーは以前の X パスワードを再利用できません
これに関するいくつかの投稿を見てきましたが、必ずしも決定的な答えを見たわけではありません。したがって、私はこの質問を新しい文脈(国防総省)で言い直そうと思いました。
DISA の「Application Security and Development STIG, V3R2」のセクション3.1.24.2 Password Complexity and Maintenanceによると、DoD エンタープライズ ソフトウェアには、パスワードに関するかなり厳しいガイドラインがあります。
パスワードは 15 文字以上にする必要があります。
パスワードには、大文字、小文字、数字、および特殊文字を混在させる必要があります。
パスワードを変更する場合、氏名、電話番号、アカウント名、辞書の単語などの個人情報を使用できないようにする必要があります。
パスワードは 60 日後に失効する必要があります。
ユーザーは、以前の 10 個のパスワードを再利用できてはなりません。
パスワードが変更されたときに、新しいアカウントのパスワードが以前のパスワードと少なくとも 4 文字異なることを要求する機能がアプリケーションにあることを確認してください。
管理者または特権ユーザーの場合を除き、ユーザーは 1 日に複数回パスワードを変更できてはなりません。特権ユーザーは、ユーザーが忘れたパスワードをリセットし、パスワードを 1 日に複数回変更できるようにする必要がある場合があります。
NullUserException の投稿で述べられているように、開発者が実際に最後の X 個のパスワードを確認できるようにする (また、新しいパスワードが以前のパスワードと異なることを確認する [箇条 6 ]) には、パスワードを可逆暗号化を使用して暗号化する必要があります。パスワードをハッシュするのではなく、メソッドを使用します (NSA 承認の暗号化アルゴリズムを使用している場合でも、これははるかに安全ではありません)。Dan Vinton の投稿に見られるように、いくつかの不一致や議論があるように見えましたが、提案された回答はかなり理にかなっているように見えました。
ここでの本当の問題は、システムのセキュリティを実際に低下させることなく、これらの一見一般的なパスワードの複雑さの制約をすべて実装できた人がいるかということだと思います。
編集:脆弱性APP3320.7(箇条書き6)には、「パスワードが変更されたときに、新しいアカウントのパスワードが以前のパスワードと少なくとも4文字異なることをアプリケーションに要求する機能があることを確認してください。」そのため、類似性をチェックするには、Levenshtein などの文字列類似性アルゴリズムを実行する必要があると思いました。ハッシュ/ソルトでこれを行うことはできません。ここで間違っているかどうか教えてください。
excel - 別のシートのテキスト一致に基づいて値を見つけるにはどうすればよいですか?
ISO と STIG という 2 つの規格があります。共通テキストに基づいて、ISO ポリシーを STIG ポリシーに一致させようとしています。ISO ドキュメントのテキストは、独自のセルにあります。STIG のテキストは段落に埋め込まれます。
ISO ドキュメントの例:
例 STIG
望ましい結果
ありがとうございました!!
security - ColdFusion アプリケーションでのログイン情報の表示。スティグ ID APP3660
私は DoD のカスタム Web アプリケーションの ISSE であり、各ユーザーのホーム画面に次の情報を表示する必要があります。
ログオンの失敗: 日時 IP アドレス
ログオン成功: 日時 IP アドレス
私の開発者はそれを理解できません。
アプリは CF8 で作成され、IIS 7.0 を使用しています。アプリケーションは CAC 対応なので、CAC (トークン) と PIN を使用してログインできます。IIS は CAC ログイン ピースを強制するため、日付/時刻/IP と失敗または成功したピースをキャプチャできるログ機能が必要であることはわかっていますが、その情報をアプリに中継して各ユーザーに表示する方法はわかりません。ホーム画面にログインする時間。よく知られているように、私たちはアプリケーションのセキュリティと開発に関する STIG の APP3660 ルールを満たすようにしています。
どんな助けにも本当に感謝しています...これが「5年生より賢いですか」タイプの質問である場合は申し訳ありません.
ansible - STIG 要件を検証するためのネットワーク (EOS/IOS) プレイブックの作成に失敗する
「コード」のふりをしているネットワークの男...(ここに笑い/恥を挿入してください). STIG 要件が満載のプレイブックを作成しようとしています。この Playbook をネットワーク デバイスに対して実行し、結果を .ckl ファイルに簡単にコピーできるようにしたいと考えています。
完全かつ完全に明らかでない場合のために、私は Ansible を使用してから 1 週間未満です。
*最初に、コマンドの出力をansibleに登録しています。*次に、特定の単語またはフレーズがレジスタの出力に含まれていることを検証するために ansible を使用したいと思います。*もちろん、デバッグ メッセージの状態は、"Not a Finding {insert register here}" または "Open {insert register here}" です。
「いつ {this pharse} (is (or not) in) register.stdout」が機能しないようです。
アンシブル 2.9 の使用
出力: