什么是csr?csr是一种企业社会责任行为,旨在通过提供公共产品和服务,促进社会公平正义,实现可持续发展。它的核心是以客户为中心,以创新为为驱动,通过持续改进产品和服务,满足客户需求,提升客户体验,最终达到客户满意度的目标。因此,我们认为,csr不仅是一种经营理念,更是是一项制度安排,需要企业长期坚持。”中国石油天然气股份有限公司董事长戴厚良表示。
一:什么是csrf漏洞
编译自: http://www.linuxandubuntu.com/home/understanding-csrf-cross-site-request-forgery
译者: geekpi
设计 Web 程序时,安全性是一个主要问题。我不是在谈论 DDoS 保护、使用强密码或两步验证。我说的是对网络程序的最大威胁。它被称为 CSRF, 是 Cross Site Request Forgery (跨站请求伪造)的缩写。
什么是 CSRF?
csrf what is cross site forgery
首先,CSRF 是 Cross Site Request Forgery 的缩写。它通常发音为 “sea-surf”,也经常被称为 XSRF。CSRF 是一种攻击类型,在受害者不知情的情况下,在受害者登录的 Web 程序上执行各种操作。这些行为可以是任何事情,从简单地点赞或评论社交媒体帖子到向人们发送垃圾消息,甚至从受害者的银行账户转移资金。
CSRF 如何工作?CSRF 攻击尝试利用所有浏览器上的一个简单的常见漏洞。每次我们对网站进行身份验证或登录时,会话 cookie 都会存储在浏览器中。因此,每当我们向网站提出请求时,这些 cookie 就会自动发送到服务器,服务器通过匹配与服务器记录一起发送的 cookie 来识别我们。这样就知道是我们了。
cookies set by website chrome
这意味着我将在知情或不知情的情况下发出请求。由于 cookie 也被发送并且它们将匹配服务器上的记录,服务器认为我在发出该请求。 CSRF 攻击通常以链接的形式出现。我们可以在其他网站上点击它们或通过电子邮件接收它们。单击这些链接时,会向服务器发出不需要的请求。正如我之前所说,服务器认为我们发出了请求并对其进行了身份验证。
一个真实世界的例子为了把事情看得更深入,想象一下你已登录银行的网站。并在 yourbank.com/transfer 上填写表格。你将接收者的帐号填写为 1234,填入金额 5,000 并单击提交按钮。现在,我们将有一个 yourbank.com/transfer/send?to=1234&amount=5000 的请求。因此服务器将根据请求进行操作并转账。现在想象一下你在另一个网站上,然后点击一个链接,用黑客的帐号作为参数打开上面的 URL。这笔钱现在会转账给黑客,服务器认为你做了交易。即使你没有。
csrf hacking bank account
CSRF 防护CSRF 防护非常容易实现。它通常将一个称为 CSRF 令牌的令牌发送到网页。每次发出新请求时,都会发送并验证此令牌。因此,向服务器发出的恶意请求将通过 cookie 身份验证,但 CSRF 验证会失败。大多数 Web 框架为防止 CSRF 攻击提供了开箱即用的支持,而 CSRF 攻击现在并不像以前那样常见。
总结CSRF 攻击在 10 年前是一件大事,但如今我们看不到太多。过去,Youtube、纽约时报和 Netflix 等知名网站都容易受到 CSRF 的攻击。然而,CSRF 攻击的普遍性和发生率最近有减少。尽管如此,CSRF 攻击仍然是一种威胁,重要的是,你要保护自己的网站或程序免受攻击。
via: http://www.linuxandubuntu.com/home/understanding-csrf-cross-site-request-forgery
本文由 LCTT 原创编译, Linux中国 荣誉推出
点击“了解更多”可访问文内链接二:csr认证
CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。通常CSR文件是在拿到参考码、授权码进行证书签发和下载时,通过网页提交给CA的(也可以由浏览器自动生成)。
没有。只能重新申请。沃通ca申请的话会全部给你生成公私钥。哪怕是丢了你都可以重新取回证书——沃通ca机构做数字认证证书领域的领跑者,buy.wosign.com
三:什么是CSR
对于供应商来说,CSR的定义就相对比较狭隘——就是如何满足客户的需求,达到社会和环境合规,即符合客户与当地政府在劳工和环境上的标准,以维持订单和确保生意。对大部分供应商来说,CSR只是守法,是客户制定的游戏规则,是需要额外付出的成本,也是在不自愿的情况下进行所谓的 “CSR”改进。首先,要考虑的是企业的品牌危机。国际品牌的经验清楚地告诉我们: “供应商犯的错,品牌商的责任”,因为这是品牌商对其供应商的选择。消费者不会知道到底谁生产你的产品,但他们会在意你的产品在什么环境下生产,如果你的产品有问题,责任还是落在你身上。尽管相对欧美国家,我国的媒体和NGO还处于初步发展阶段,以批评和压力推动企业CSR表现的机构也比较少,但这样的情况正在慢慢改变。四:csr报告
上交所官网搜索企业社会责任报告,历年报告都有,均可下载。但深交所没有类似的database开放下载,润灵环球RKS只能下载到2009-2011年的报告。商道纵横MQI一般会员每个月只能下载10份报告,以前高级会员可无限制下载,这项功能暂时取消,什么时候开放还不确定。中国社会责任报告库,报告不全,仅少量可用。
安永建议A股上市公司从如下四个方面提升CSR管理和CSR报告:
一是在公司治理层面,完善CSR顶层设计。上市公司可考虑将环境和社会目标纳入公司发展战略,在董事会议程中加入环境和社会方面的议题,对经营管理层的绩效考核适当引入环境和社会效益等非财务指标,从而推动CSR管理的落地。
二是在业务运营层面,完善CSR组织管理。从环境和社会两个范畴出发,对组织体系、部门及岗位职责、业务流程和管理制度进行梳理和完善;构建环境和社会风险管理全流程;开发环境和社会效益核算工具,完善考核机制。
三是IT系统层面,加强CSR信息统计。通过完善IT系统,提高CSR数据的收集和整理效率,实现环境和社会风险的及时监测,以及自动生成各种监管报表和内部管理报告,为CSR管理提供有效支持。
四是信息披露层面,逐步纳入ESG指标。针对投资人及评级机构的ESG关注点,强化定量指标披露,回应资本市场需求。