部落格

您在這裡

jimmy

備份安全性: 使用 OpenSSL 、 Mariabackup 實現大檔案的非對稱加密

2022-11-21

網站安全性,其中一個是擁有安全的備份檔案,尤其是資料庫的費份,包含了帳號、密碼雜湊、使用者個資等,更應該注重安全性。該備份不應明碼儲存,更不應放在同一臺主機上的 web 權限可以取得之處,以免網站被攻破時,連帶將你的備份帶走保存;甚至刪除你的原始備份,這樣就完全沒有備份的效果了。

因此,實現備份時,種種顧慮下,第一步一定是將備份的檔案正確的加密,我們建議使用非對稱金鑰來實現這樣的工作,因為非對稱金鑰可以讓系統自動備份時,使用可以公開的公鑰進行檔案加密,就算被竊取走,也不用擔心備份的檔案被解密。需要解密時,使用僅存於少數人中的私鑰解密,讓加密備份安全無虞。

1. 產生非對稱金鑰

使用 Linux 環境,可以使用 OpenSSL 來達成此工作。先使用以下指令產生非對稱金鑰:

openssl req -x509 -nodes -newkey rsa:2048 -keyout private.key -out public.key

該金鑰如前述,public.key 要儲存於伺服器中, private.key 則是存在真正有權限的使用者安全處。

 

2. 進行資料庫備份

如果使用 MariaDB,我們推薦使用 Markabackup 來進行資料庫的備份,比起傳統的 mysqldump,mariabackup 支援熱備份,且對網站的造成影響較小,不會讓資料庫在備份過程中斷線,詳細可以參考

chiachin

常見開發習慣造成的資安問題與錯誤

2022-11-14

前言:

在進行程式碼開發時,有一些開發習慣常常會造成程式漏洞,有時候會進而導致資安問題,

以下列出幾項常見的開發習慣造成的資安問題與錯誤與大家分享

摘要:

  1. $_GET 或 $_POST 參數漏洞

  2. 資料型別檢查失效漏洞

  3. 不完整的存取權限 

poliphilo

我們所使用的 VS Code 擴充功能是否安全?

2022-11-14

什麼是 VS Code?

Visual Studio Code(以下簡稱 VS Code)是一款由微軟(Microsoft)開發的跨平台免費原始碼編輯器,VS Code 至今本身就已擁有強大功能,也像許多受歡迎的開源軟體一樣,VS Code 有豐富的社群參與和擴充功能,這些輔助與除錯工具讓我們改善工作流程、增進工作效率,我們可以選擇在喜歡的主題下敲打鍵盤,並進行各種客製化設定,甚至可以在編輯器裡與喜歡的動物相伴,或是玩貪吃蛇!!


laurie

架設新網站的前期準備與心理建設(?)

2022-09-30
剛開始成立法人時,組織草創時期考量到經費與人力的限制,或許不一定要架設網站,可以將組織消息、組織介紹等放在 Facebook 的粉絲專頁。
待時間久了就會發現,Facebook 的擴散效果雖然不錯又是免費的,但時間軸特性讓我們很難回溯過去特定的文章,且簡易好上手的編輯器也無法讓文章圖文並茂的呈現。這個時候就可以考慮建置一個組織的專屬網站啦!
尋找廠商或工作室洽談前要準備甚麼呢?本文章分成網站架構、網站功能、視覺風格、預算與時程五個面向說明。
 

1. 網站架構設定

  • 一般組織標準規格會有:關於我們、聯絡我們、最新消息、捐款資訊
  • 倡議型的組織通常有:主要工作/工作介紹、專題報導
  • 服務型的組織通常有:服務項目/服務說明
  • 視業務內容也可能會再加上:活動報名、合作夥伴等
 
因為網站是潛在支持者與組織接觸的重要管道,請與夥伴同仁一起腦力激盪,哪些資訊一定要揭露出來,讓(潛在)支持者知道組織多麼努力在經營,產出了哪些成果,創造了甚麼影響力。
 
腦力激盪時,有時可能會想不出來要放甚麼內容,但也有可能想要放「太多」內容,很想把各式各樣的資料線上化,跟親愛的支持者們分享。這部分除了要考量經費與時程外,也要將清整資料、上稿的人力納入考量,
jimmy

自行架設 Joplin Server 同步機器

2022-09-07

筆記軟體同步雲端的功能其實有隱私疑慮,例如這裡發生過掃描使用者上傳的筆記內容,Joplin 是一個開源的免費筆記軟體,要同步到雲端目前有很多選擇,而且通通都可以加密後再同步。

其中最容易使用的雲端同步地點是 Dropbox,幾乎無痛可以使用,可惜 Dropbox 免費版本限制僅能 3 個裝置彼此同步資料,Joplin 則提供的另一個選項 - Joplin Server,自行架設 Server,將加密後的筆記同步至雲端

laurie

當決定換網址時,舊網址應該續租嗎?

2022-08-25

(※話先說在前,轉址或多或少會影響到SEO,網路上已有很多好心神人的文章,這邊就不再贅述,可以搜尋「換網址 + SEO」關鍵字來看看各種注意/待辦事項唷。)

近期有碰到客戶因應組織名稱調整,因而需要一起更換網站的網址,例如從 abc.com 改成 abcd.com。

那麼網址換新就 OK 了嗎?舊網址租用日期到了自動停止租用即可嗎?

 

原網域是否經營許久/有成?與組織名稱仍有連結?

那您該考慮永久續租舊網域。

若原網址已經使用很久了,是累積歷來很多流量的網址,即便碰到是網站必須更換新網址的情境,舊網址仍繼續租用較佳,以免舊網址之後被買走做別的事。曾經有聽聞過一個案例,換網址之後,其他使用者從 Google 搜尋結果點到舊網址,進到一個觀感不佳(自行想像)網站。也有發生過資安事件,原網域被買走,並且作為釣魚網站 https://krebsonsecurity.com/2018/11/that-domain-you-forgot-to-renew-yeah...。若是經營了很久的網址,後來這樣被使用來欺騙支持者,一定非常心痛吧!

另外,其他網站/網誌有協助推廣舊網址的連結?例如別的站台推廣您網站的活動、

paopeihuang

2021學年網站規劃專案實習心得

2022-02-15

說起來,能夠在網絡實習,還真的是一個機緣!大學期間便已耳聞同儕在網絡的實習與工讀經驗,畢業後在業界打滾快兩年,回歸讀了碩班,然後就在2021這個美好的時間點,碰上網絡開缺的實習機會。

 

參與一個網站的誕生

先前在業界是做SEO的工作,對網站的認識可說是既熟悉又陌生,主要關注的是網站流量與關鍵字排名,僅以顧問身分提出網站技術端優化與內容配置、調整的建議。因此,非常開心在網絡實習期間能直接觸碰到網站建置規劃與流程;從參與與客戶的討論會議開始,釐清與記錄客戶需求開始,撰寫網站建置規劃書,以軟體繪製線框稿 ( Wireframe ) 建立網站藍圖,作為雙方在前端版面配置與功能呈現上的確認依據,接續進入視覺設計討論、再轉交工程師將網站建置完成,而在正式上線前,亦反覆確認每一網頁的功能、內容呈現,最終協助撰寫網站的操作手冊或成果報告書。

貼近非營利組織,進入他們的思維

在短短一年的實習中,非常幸運能接觸了十來個大小網站的建置與改版,也從這些實作經驗中,認識了在不同領域中努力發揮光與熱、並朝著各自理想前進的機構。網絡主要服務的客戶是為非營利組織,這些組織能被概略分成倡議與服務二種性質,倡議型的組織在網站建置上,主要期待是為清楚呈現議題資訊,相比之下,服務性質的組織則更強調於服務成果的展現。儘管相似性質的組織對網站的期待與需求是大同小異,然而,在這些異點上的追求與琢磨是很耐人尋味的,似乎也能反映各組織在其定位與目標上的期許。

charles

組織的捐款報表,要分析捐款人?還是分析捐款行為?

2021-09-16

2020年12月,有幸參與了台灣公益團體自律聯盟舉辦的「台灣公益團體責信度與捐款人意識研討會」,並在「如何解讀數據,並發展因應策略」的綜合座談,分享我們這幾年來的經驗。(順帶一提,我們公司的客戶裡,大約有 1/7、將近40個組織,是自律聯盟的客戶,很棒!)

在近五年因為資料分析的發展趨勢(aka 大數據...),在各產業裡都有滿多創新的發展。唯獨在非營利組織領域裡,多數組織還停留在對於「報表」的傳統想像,一份 Excel 文件,告訴高階主管上個月、上一季的捐款統計資訊,然後就...準備下一份報告?

其實,從資料分析運用的四大階段來看,描述型分析、診斷型分析、預測型分析、指示型分析,組織應要可以回答這些問題,並有對應的下一步行動方案:

  1. 描述:究竟是誰在捐款(給我們)?
  2. 診斷:為什麼有募款專案成效佳、有些則不?
  3. 預測:能不能預測募款的成效?
  4. 指示:要做什麼事,才能提升募款收入?

中間的兩個問題,可能是需要滿多的領域知識與資料分析技術/資源,才能夠應對。但針對第一和第四個問題,即使是小型組織也有辦法回答的。

以「究竟是誰在捐款(給我們)?」來說,目前的困境通常在於捐款表單的簡化設計

頁面