Mandag d. 10-03-2025
Har læst om beskyttelse mod blandt andet Brute-force attacks, og en af de metoder som jeg har fundet frem til er Rate Limiting. Som er en måde at stoppe mange requests som kommer fra samme bruger, hvis den bruger sender mange requests i løbet af kort tid. Den måde det fungere på er at f.eks. web applikationen man sidder på ser hvor mange request en specifik Ip adresse sender, hvilket er måden applikationen kan se hvem der sender disse requests. Hvis man overskrider et bestemt antal af requests, bliver man lukket ude for noget tid. Hvilket ville kunne forebygge mod f.eks. Brute-force attacks, men også DDos attacks, som er når man overflyder en server med en masse web requests.
Måden det så ville fungere på I forhold til login, er f.eks. man ser nogle hjemmesider hvor man har 3 eller 5 forsøg til at loggen ind, det er for at beskytte imod brute-force attacks. Man vil typisk blokere i forhold til hvilken ip adresse som foretager disse requests, og også med hvilket brugernavn som bliver brugt til at logge ind. Da hackere kan benytte sig af flere forskellige ip adresser.
Måden det så fungere på ved API Servere, er at man har denne Rate Limiter middleware, som kigger på hvor mange requests en Client har sendt til API’en, hvis man overskrider denne grænse vil denne middleware sende en form for fejlrespons, uden at sende det videre til API’en, dette gøres for at forebygge mod f.eks. DDoS Attacks.
Kilder:
Tirsdag d. 11-03-2025
I dag har jeg været til møde med Ordbogen.com sammen med min projektgruppe, hvor vi har fået mere information på plads omkring vores projekter som vi har sammen med Ordbogen, blandt andet 2 af projekterne som jeg er en del af, som er vores Ethical Hacking projekt, og mig som har mit Spiludviklings projekt, hvor jeg skal gamificere deres grammatip platform.
Derudover har vi været til praktikinformationsmøde, hvor vi har fået noget information omkring 5. Semester, og hvilke datoer vi skal være opmærksomme på i forhold til vores praktik og eksamener.
Har ellers ikke fået lavet andet I dag.
Onsdag d. 12-03-2025
Jeg har læst om hashing af adgangskoder I dag, og en del ind på hvad hashing er, og hvorfor det bruges i forhold til sikring af adgangskoder.
Hashing er en del af det man kalder for kryptografi, og som betyder at hemmeliggøre det originale input. Kryptering er også en del af kryptografi, forskellen fra disse to typer af kryptografi er at hashing er “one-way”, hvilket vil sige når man først har fået hashet sin besked, kan den ikke blive vendt tilbage til det originale input, da hashing ikke har krypteringsnøgler, som man for eksempel har i RSA kryptering.
Grunden til at det er “umuligt” at finde tilbage til det originale input, er fordi hashing benytter sig af modulus mellem to værdier. Modulus er at finde resten når 2 værdier bliver divideret med hinanden. Hvilket vil sige hvis man kun kender resultatet af modulus mellem x og y, er der uendelige måder at finde samme resultat på. Derfor er det umuligt at finde tilbage til det originale.
Her har jeg lavet et meget simpelt og ikke særlig sikkert eksempel på en meget simpel hashing funktion, hvor man bare lige kan se grundprincipperne i hashing.
Har også eksperimenteret med at benytte mig af BCrypt, og derfra deres SHA-512 hashtype, og deres egen Salt genereringsfunktion.
Kilder: