Danh sách đen (điện toán)

Bách khoa toàn thư mở Wikipedia
Hình chụp một trang web của một dự án của Wikimedia Foundation.

Trong điện toán, một danh sách đen, danh sách không cho phép, danh sách chặn hoặc danh sách từ chối là một cơ chế điều khiển truy cập cơ bản cho phép thông qua tất cả các phần tử (địa chỉ email, người dùng, mật khẩu, URL, địa chỉ IP, tên miền, hàm băm tệp, v.v.) ngoại trừ những phần tử được đề cập rõ ràng. Ngược lại là danh sách trắng hoặc danh sách cho phép mà trong đó chỉ các mục được phép đi qua bất kỳ cổng nào đang được sử dụng. Một danh sách xám chứa các mục tạm thời bị chặn (hoặc tạm thời được cho phép) cho đến khi thực hiện một bước bổ sung.

Danh sách đen có thể được áp dụng tại các điểm khác nhau trong kiến ​​trúc bảo mật, chẳng hạn như máy chủ, proxy, máy chủ DNS, máy chủ email, tường lửa, máy chủ thư mục hoặc cổng xác thực ứng dụng. Loại phần tử bị chặn bị ảnh hưởng bởi vị trí điều khiển truy cập.[1] Chẳng hạn, máy chủ DNS có thể phù hợp để chặn tên miền chứ không phải URL; tường lửa phù hợp để chặn địa chỉ IP, nhưng ít phù hợp hơn để chặn các tệp hoặc mật khẩu độc hại.

Trường hợp sử dụng ví dụ có thể là: một công ty có thể chặn không cho một danh sách phần mềm chạy trên mạng của mình; một trường học có thể chặn truy cập vào danh sách các trang web từ máy tính của họ hoặc một doanh nghiệp muốn đảm bảo người dùng máy tính của họ không chọn những lựa chọn dễ đoán.

Ví dụ về các hệ thống được bảo vệ[sửa | sửa mã nguồn]

Danh sách đen được sử dụng để bảo vệ nhiều hệ thống trong máy tính. Phần tử của danh sách đen có thể là nội dung nhắm mục tiêu đến các hệ thống được bảo vệ.[2]

Hệ thống thông tin[sửa | sửa mã nguồn]

Một hệ thống thông tin bao gồm các máy chủ điểm cuối, chẳng hạn như máy người dùng và máy chủ. Danh sách đen ở vị trí này có thể bao gồm một số loại phần mềm không được phép chạy trong môi trường công ty. Ví dụ: một công ty có thể đưa vào danh sách đen việc chia sẻ tệp ngang hàng trên hệ thống của mình. Ngoài phần mềm, con người, thiết bị và trang web cũng có thể được đưa vào danh sách đen.[3]

Email[sửa | sửa mã nguồn]

Hầu hết các nhà cung cấp dịch vụ email đều có tính năng chống thư rác, về cơ bản sẽ đưa vào danh sách đen một số địa chỉ email nhất định nếu chúng được coi là không mong muốn. Ví dụ: người dùng mệt mỏi với các email không thể ngăn chặn từ một địa chỉ email cụ thể có thể đưa địa chỉ đó vào danh sách đen và ứng dụng email sẽ tự động định tuyến tất cả thư từ địa chỉ đó vào thư mục thư rác hoặc xóa chúng mà không cần thông báo cho người dùng.

Một bộ lọc thư rác có thể lưu trữ một danh sách đen các địa chỉ email, bất kỳ thư nào từ đó sẽ bị ngăn chặn không cho chuyển đến được đích dự kiến. Nó cũng có thể sử dụng việc gửi tên miền hoặc gửi địa chỉ IP để triển khai một lệnh chặn.

Ngoài danh sách đen email cá nhân, có những danh sách được lưu giữ để sử dụng công khai, bao gồm:

Duyệt web[sửa | sửa mã nguồn]

Mục tiêu của danh sách đen trong trình duyệt web là ngăn người dùng truy cập trang web độc hại hoặc lừa đảo thông qua bộ lọc cục bộ. Một danh sách đen duyệt web phổ biến là Duyệt web an toàn của Google, được cài đặt theo mặc định trong Firefox, SafariChrome.

Tên người dùng và mật khẩu[sửa | sửa mã nguồn]

Danh sách đen cũng có thể áp dụng cho thông tin đăng nhập của người dùng. Các hệ thống hoặc trang web thường đưa vào danh sách đen một số tên người dùng dành riêng mà người dùng của hệ thống hoặc trang web không được phép chọn. Những tên người dùng dành riêng này thường được liên kết với các chức năng quản trị hệ thống tích hợp sẵn. Ngoài ra, những từ ngữ tục tĩu hoặc phân biệt chủng tộc cũng bị chặn theo mặc định.

Danh sách đen về mật khẩu giống với danh sách đen tên người dùng nhưng thường chứa nhiều mục hơn đáng kể so với danh sách đen tên người dùng. Danh sách đen về mật khẩu được áp dụng để ngăn người dùng chọn mật khẩu dễ đoán hoặc được nhiều người biết đến và có thể dẫn đến việc truy cập trái phép bởi các bên có ý đồ xấu. Danh sách đen về mật khẩu được triển khai như một lớp bảo mật bổ sung, thường là bên cạnh chính sách mật khẩu, chính sách này đặt ra các yêu cầu về độ dài và/hoặc độ phức tạp của ký tự đối với mật khẩu. Điều này là do có một số lượng đáng kể các kết hợp mật khẩu đáp ứng nhiều chính sách mật khẩu nhưng vẫn dễ bị đoán ra (ví dụ: Password123, Qwerty123).

Phân phối[sửa | sửa mã nguồn]

Danh sách đen được phân phối theo nhiều cách khác nhau. Một số sử dụng danh sách gửi thư đơn giản. Một danh sách chặn dựa trên hệ thống tên miền là một phương pháp phân phối phổ biến tận dụng chính DNS đó. Một số danh sách sử dụng rsync để trao đổi dữ liệu khối lượng lớn.[6] Các chức năng của máy chủ web có thể được sử dụng; có thể sử dụng các yêu cầu GET đơn giản hoặc các giao diện phức tạp hơn như API RESTful.

Ví dụ[sửa | sửa mã nguồn]

  • Các công ty như Google, SymantecSucuri giữ danh sách đen nội bộ các trang web được biết là có phần mềm độc hại và hiển thị cảnh báo trước khi cho phép người dùng nhấp vào chúng.
  • Ngoài ra còn có các danh sách đen miễn phí cho proxy Squid (phần mềm), chẳng hạn như Blackweb
  • Tường lửa hoặc IDS cũng có thể sử dụng danh sách đen để chặn các địa chỉ IP và/hoặc mạng thù địch đã biết. Một ví dụ cho danh sách như vậy sẽ là dự án OpenBL.
  • Tuy nhiên, một dạng danh sách khác là danh sách vàng, đây là danh sách các địa chỉ IP của máy chủ email gửi hầu hết email tốt nhưng lại gửi một số thư rác. Ví dụ bao gồm Yahoo, HotmailGmail.[cần dẫn nguồn] Máy chủ được liệt kê màu vàng là máy chủ không bao giờ được vô tình đưa vào danh sách đen. Danh sách vàng được kiểm tra trước và nếu được liệt kê thì các kiểm tra danh sách đen sẽ bị bỏ qua.
  • Nhiều trình duyệt web có khả năng tham khảo danh sách đen chống lừa đảo để cảnh báo những người dùng vô tình truy cập trang web lừa đảo.

Cân nhắc sử dụng[sửa | sửa mã nguồn]

Như đã trình bày trong một bài báo hội nghị gần đây tập trung vào danh sách đen các tên miền và địa chỉ IP được sử dụng để bảo mật Internet, "các danh sách này thường không giao nhau. Do đó, có vẻ như các danh sách này không hội tụ vào một tập hợp các chỉ báo độc hại."[7][8] Mối quan tâm này kết hợp với một mô hình kinh tế học,[9] có nghĩa là, trong khi danh sách đen là một phần thiết yếu của phòng thủ mạng, chúng cũng cần được sử dụng cùng với danh sách trắng và danh sách xám.

Tranh cãi về việc sử dụng thuật ngữ[sửa | sửa mã nguồn]

Vào năm 2018, một bài bình luận trên tạp chí về một báo cáo về xuất bản săn mồi[10] đã đưa ra tuyên bố rằng "da trắng" và "da đen" là những thuật ngữ mang tính phân biệt chủng tộc cần tránh trong các trường hợp như "danh sách trắng" và "danh sách đen". Tạp chí đã trở thành xu hướng chủ đạo vào Mùa hè năm 2020 sau cuộc biểu tình về George Floyd ở Mỹ, trong đó một người đàn ông da đen bị một sĩ quan sát hại, làm dấy lên các cuộc biểu tình phản đối sự tàn bạo của cảnh sát.

Tiền đề của tạp chí là "đen" và "trắng" có ý nghĩa tiêu cực và tích cực tương ứng.[10] Nó nói rằng vì cách sử dụng đầu tiên được ghi nhận của "danh sách đen" là trong "thời kỳ nô dịch hàng loạt và buộc trục xuất người châu Phi đến làm việc tại các thuộc địa do người châu Âu nắm giữ ở châu Mỹ", do đó, từ này có liên quan đến chủng tộc. Không có đề cập đến "danh sách trắng" và nguồn gốc hoặc mối quan hệ của nó với chủng tộc.

Vấn đề này gây tranh cãi nhiều nhất trong các ngành công nghiệp điện toán nơi "danh sách trắng" và "danh sách đen" phổ biến (ví dụ: danh sách trắng về IP[11]). Bất chấp tính chất bình luận của tạp chí, một số công ty và cá nhân ở những nơi khác đã thay thế "danh sách trắng" và "danh sách đen" bằng các lựa chọn thay thế mới như "danh sách cho phép" và "danh sách từ chối".[12]

Những người phản đối những thay đổi này đặt câu hỏi về sự quy kết của nó đối với chủng tộc, trích dẫn cùng một dẫn chứng từ nguyên mà tạp chí năm 2018 sử dụng.[12][13] Dẫn chứng gợi ý rằng thuật ngữ "danh sách đen" phát sinh từ "sách đen" gần 100 năm trước. "Sách đen" dường như không có bất kỳ từ nguyên hoặc nguồn nào chứng minh mối quan hệ chủng tộc, thay vào đó xuất phát từ những năm 1400 đề cập đến "danh sách những người đã phạm tội hoặc không được các nhà lãnh đạo ủng hộ" và được phổ biến bởi cách sử dụng sách bìa đen theo nghĩa đen của Vua Henry VIII.[14] Những người khác cũng lưu ý đến sự phổ biến của ý nghĩa tích cực và tiêu cực đối với "da trắng" và "đen" trong Kinh Thánh, trước những quy định về màu da và chế độ nô lệ.[15] Mãi cho đến phong trào Black Power những năm 1960, "Black" mới trở thành một từ phổ biến để chỉ chủng tộc của một người với tư cách là người da màu ở Mỹ[16] (thay thế cho người Mỹ gốc Phi) tự cho mình lập luận rằng ý nghĩa tiêu cực đằng sau "đen" và "danh sách đen" đều có trước khi bị quy kết chủng tộc.

Một số công ty đã phản hồi về cuộc tranh cãi này vào tháng 6 và tháng 7 năm 2020:

  • GitHub thông báo sẽ thay thế nhiều "điều khoản có thể gây khó chịu cho các nhà phát triển thuộc cộng đồng người da đen".[17]
  • Apple Inc. đã thông báo tại hội nghị nhà phát triển của mình rằng họ sẽ áp dụng ngôn ngữ kỹ thuật toàn diện hơn và thay thế thuật ngữ "danh sách đen" bằng "danh sách từ chối" và thuật ngữ "danh sách trắng" bằng "danh sách cho phép".[18]
  • Linux Foundation cho biết họ sẽ sử dụng ngôn ngữ trung lập trong mã nhân và tài liệu trong tương lai và tránh các thuật ngữ như "danh sách đen" và "nô lệ" trong tương lai.[19]
  • Nhóm Kỹ thuật của Twitter đã tuyên bố ý định loại bỏ một số thuật ngữ, bao gồm "danh sách đen" và "danh sách trắng".[20]
  • Red Hat đã thông báo rằng họ sẽ làm cho nguồn mở trở nên toàn diện hơn và tránh những điều khoản này cũng như các điều khoản khác.[21]
  • ZDNet báo cáo rằng danh sách các công ty công nghệ đưa ra quyết định như vậy "bao gồm Twitter, GitHub, Microsoft, LinkedIn, Ansible, Red Hat, Splunk, Android, Go, MySQL, PHPUnit, Curl, OpenZFS, Rust, JP Morgan và những công ty khác."[22]

Tham khảo[sửa | sửa mã nguồn]

  1. ^ Shimeall, Timothy; Spring, Jonathan (12 tháng 11 năm 2013). Introduction to Information Security: A Strategic-Based Approach (bằng tiếng Anh). Newnes. ISBN 9781597499729. Bản gốc lưu trữ ngày 12 tháng 3 năm 2023. Truy cập ngày 27 tháng 11 năm 2022.
  2. ^ “Domain Blacklist Ecosystem - A Case Study”. insights.sei.cmu.edu. Lưu trữ bản gốc ngày 27 tháng 3 năm 2019. Truy cập ngày 4 tháng 2 năm 2016.
  3. ^ Rainer, Watson (2012). Introduction to Information Systems. Wiley Custom Learning Solutions. ISBN 978-1-118-45213-4.
  4. ^ “反垃圾邮件联盟”. Bản gốc lưu trữ ngày 11 tháng 8 năm 2015. Truy cập ngày 10 tháng 8 năm 2015.
  5. ^ “Fabelsources - Blacklist”. Lưu trữ bản gốc ngày 22 tháng 12 năm 2018. Truy cập ngày 27 tháng 11 năm 2022.
  6. ^ “Guidelines”. www.surbl.org. Lưu trữ bản gốc ngày 25 tháng 1 năm 2016. Truy cập ngày 4 tháng 2 năm 2016.
  7. ^ Metcalf, Leigh; Spring, Jonathan M. (1 tháng 1 năm 2015). Blacklist Ecosystem Analysis: Spanning Jan 2012 to Jun 2014. Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security. tr. 13–22. doi:10.1145/2808128.2808129. ISBN 9781450338226. S2CID 4720116.
  8. ^ Kührer, Marc; Rossow, Christian; Holz, Thorsten (17 tháng 9 năm 2014). Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (biên tập). Paint It Black: Evaluating the Effectiveness of Malware Blacklists. Lecture Notes in Computer Science (bằng tiếng Anh). Springer International Publishing. tr. 1–21. doi:10.1007/978-3-319-11379-1_1. ISBN 9783319113784. S2CID 12276874.
  9. ^ Spring, Jonathan M. (1 tháng 1 năm 2013). “Modeling malicious domain name take-down dynamics: Why eCrime pays”. 2013 APWG e Crime Researchers Summit. ECrime Researchers Summit (ECRS), 2013. tr. 1–9. CiteSeerX 10.1.1.645.3543. doi:10.1109/eCRS.2013.6805779. ISBN 978-1-4799-1158-5. S2CID 8812531.
  10. ^ a b Houghton, F., & Houghton, S. (2018). "“Blacklists” and “whitelists”: a salutary warning concerning the prevalence of racist language in discussions of predatory publishing." Lưu trữ 2022-12-04 tại Wayback Machine
  11. ^ “IP Whitelisting - Documentation”. help.gooddata.com (bằng tiếng Anh). Bản gốc lưu trữ ngày 30 tháng 9 năm 2020. Truy cập ngày 14 tháng 10 năm 2020.
  12. ^ a b Cimpanu, Catalin. “GitHub to replace "master" with alternative term to avoid slavery references”. ZDNet (bằng tiếng Anh). Lưu trữ bản gốc ngày 2 tháng 10 năm 2020. Truy cập ngày 14 tháng 10 năm 2020.
  13. ^ “blacklist | Origin and meaning of blacklist by Online Etymology Dictionary”. etymonline.com (bằng tiếng Anh). Lưu trữ bản gốc ngày 15 tháng 10 năm 2020. Truy cập ngày 14 tháng 10 năm 2020.
  14. ^ “What is Little Black Book?”. Writing Explained (bằng tiếng Anh). Lưu trữ bản gốc ngày 19 tháng 10 năm 2020. Truy cập ngày 17 tháng 10 năm 2020.
  15. ^ Grammarian, Angry. “Is 'master bedroom' a racist term? As language evolves, consider history and usage. | The Angry Grammarian”. inquirer.com (bằng tiếng Anh). Lưu trữ bản gốc ngày 6 tháng 8 năm 2020. Truy cập ngày 14 tháng 10 năm 2020.
  16. ^ Martin, Ben L. (1991). “From Negro to Black to African American: The Power of Names and Naming”. Political Science Quarterly. 106 (1): 83–107. doi:10.2307/2152175. ISSN 0032-3195. JSTOR 2152175. Bản gốc lưu trữ ngày 7 tháng 12 năm 2022. Truy cập ngày 27 tháng 11 năm 2022.
  17. ^ “GitHub to replace "master" with alternative term to avoid slavery references”. zdnet.com. Lưu trữ bản gốc ngày 13 tháng 8 năm 2020. Truy cập ngày 14 tháng 8 năm 2020.
  18. ^ “Apple banishes 'blacklist' and 'master branch' in push for inclusive language”. msn.com. Lưu trữ bản gốc ngày 20 tháng 7 năm 2020. Truy cập ngày 20 tháng 7 năm 2020.
  19. ^ “pull request for inclusive-terminology”. git.kernel.org. Lưu trữ bản gốc ngày 13 tháng 8 năm 2020. Truy cập ngày 14 tháng 8 năm 2020.
  20. ^ “We're starting with a set of words we want to move away from using in favor of more inclusive language”. twitter.com. Lưu trữ bản gốc ngày 1 tháng 9 năm 2020. Truy cập ngày 14 tháng 8 năm 2020.
  21. ^ “Making open source more inclusive by eradicating problematic language”. redhat.com. Lưu trữ bản gốc ngày 12 tháng 8 năm 2020. Truy cập ngày 14 tháng 8 năm 2020.
  22. ^ “Linux team approves new terminology, bans terms like 'blacklist' and 'slave'. zdnet.com. Lưu trữ bản gốc ngày 24 tháng 2 năm 2021. Truy cập ngày 14 tháng 8 năm 2020.

Liên kết ngoài[sửa | sửa mã nguồn]

Lấy từ “https://vi.wikipedia.org/w/index.php?title=Danh_sách_đen_(điện_toán)&oldid=69818937