✨Danh sách đen (điện toán)

thumb|Hình chụp một trang web của một dự án của [[Wikimedia Foundation.]] Trong điện toán, một danh sách đen, danh sách không cho phép, danh sách chặn hoặc danh sách từ chối là một cơ chế điều khiển truy cập cơ bản cho phép thông qua tất cả các phần tử (địa chỉ email, người dùng, mật khẩu, URL, địa chỉ IP, tên miền, hàm băm tệp, v.v.) ngoại trừ những phần tử được đề cập rõ ràng. Ngược lại là danh sách trắng hoặc danh sách cho phép mà trong đó chỉ các mục được phép đi qua bất kỳ cổng nào đang được sử dụng. Một danh sách xám chứa các mục tạm thời bị chặn (hoặc tạm thời được cho phép) cho đến khi thực hiện một bước bổ sung.

Danh sách đen có thể được áp dụng tại các điểm khác nhau trong kiến ​​trúc bảo mật, chẳng hạn như máy chủ, proxy, máy chủ DNS, máy chủ email, tường lửa, máy chủ thư mục hoặc cổng xác thực ứng dụng. Loại phần tử bị chặn bị ảnh hưởng bởi vị trí điều khiển truy cập. Chẳng hạn, máy chủ DNS có thể phù hợp để chặn tên miền chứ không phải URL; tường lửa phù hợp để chặn địa chỉ IP, nhưng ít phù hợp hơn để chặn các tệp hoặc mật khẩu độc hại.

Trường hợp sử dụng ví dụ có thể là: một công ty có thể chặn không cho một danh sách phần mềm chạy trên mạng của mình; một trường học có thể chặn truy cập vào danh sách các trang web từ máy tính của họ hoặc một doanh nghiệp muốn đảm bảo người dùng máy tính của họ không chọn những lựa chọn dễ đoán.

Ví dụ về các hệ thống được bảo vệ

Danh sách đen được sử dụng để bảo vệ nhiều hệ thống trong máy tính. Phần tử của danh sách đen có thể là nội dung nhắm mục tiêu đến các hệ thống được bảo vệ.

Hệ thống thông tin

Một hệ thống thông tin bao gồm các máy chủ điểm cuối, chẳng hạn như máy người dùng và máy chủ. Danh sách đen ở vị trí này có thể bao gồm một số loại phần mềm không được phép chạy trong môi trường công ty. Ví dụ: một công ty có thể đưa vào danh sách đen việc chia sẻ tệp ngang hàng trên hệ thống của mình. Ngoài phần mềm, con người, thiết bị và trang web cũng có thể được đưa vào danh sách đen.

Email

Hầu hết các nhà cung cấp dịch vụ email đều có tính năng chống thư rác, về cơ bản sẽ đưa vào danh sách đen một số địa chỉ email nhất định nếu chúng được coi là không mong muốn. Ví dụ: người dùng mệt mỏi với các email không thể ngăn chặn từ một địa chỉ email cụ thể có thể đưa địa chỉ đó vào danh sách đen và ứng dụng email sẽ tự động định tuyến tất cả thư từ địa chỉ đó vào thư mục thư rác hoặc xóa chúng mà không cần thông báo cho người dùng.

Một bộ lọc thư rác có thể lưu trữ một danh sách đen các địa chỉ email, bất kỳ thư nào từ đó sẽ bị ngăn chặn không cho chuyển đến được đích dự kiến. Nó cũng có thể sử dụng việc gửi tên miền hoặc gửi địa chỉ IP để triển khai một lệnh chặn.

Ngoài danh sách đen email cá nhân, có những danh sách được lưu giữ để sử dụng công khai, bao gồm:

• China Anti-Spam Alliance
• Fabel Spamsources
• Thư rác và hệ thống chặn chuyển tiếp mở
• The DrMX Project

Duyệt web

Mục tiêu của danh sách đen trong trình duyệt web là ngăn người dùng truy cập trang web độc hại hoặc lừa đảo thông qua bộ lọc cục bộ. Một danh sách đen duyệt web phổ biến là Duyệt web an toàn của Google, được cài đặt theo mặc định trong Firefox, Safari và Chrome.

Tên người dùng và mật khẩu

Danh sách đen cũng có thể áp dụng cho thông tin đăng nhập của người dùng. Các hệ thống hoặc trang web thường đưa vào danh sách đen một số tên người dùng dành riêng mà người dùng của hệ thống hoặc trang web không được phép chọn. Những tên người dùng dành riêng này thường được liên kết với các chức năng quản trị hệ thống tích hợp sẵn. Ngoài ra, những từ ngữ tục tĩu hoặc phân biệt chủng tộc cũng bị chặn theo mặc định.

Danh sách đen về mật khẩu giống với danh sách đen tên người dùng nhưng thường chứa nhiều mục hơn đáng kể so với danh sách đen tên người dùng. Danh sách đen về mật khẩu được áp dụng để ngăn người dùng chọn mật khẩu dễ đoán hoặc được nhiều người biết đến và có thể dẫn đến việc truy cập trái phép bởi các bên có ý đồ xấu. Danh sách đen về mật khẩu được triển khai như một lớp bảo mật bổ sung, thường là bên cạnh chính sách mật khẩu, chính sách này đặt ra các yêu cầu về độ dài và/hoặc độ phức tạp của ký tự đối với mật khẩu. Điều này là do có một số lượng đáng kể các kết hợp mật khẩu đáp ứng nhiều chính sách mật khẩu nhưng vẫn dễ bị đoán ra (ví dụ: Password123, Qwerty123).

Phân phối

Danh sách đen được phân phối theo nhiều cách khác nhau. Một số sử dụng danh sách gửi thư đơn giản. Một danh sách chặn dựa trên hệ thống tên miền là một phương pháp phân phối phổ biến tận dụng chính DNS đó. Một số danh sách sử dụng rsync để trao đổi dữ liệu khối lượng lớn. Các chức năng của máy chủ web có thể được sử dụng; có thể sử dụng các yêu cầu GET đơn giản hoặc các giao diện phức tạp hơn như API RESTful.

Ví dụ

• Các công ty như Google, Symantec và Sucuri giữ danh sách đen nội bộ các trang web được biết là có phần mềm độc hại và hiển thị cảnh báo trước khi cho phép người dùng nhấp vào chúng.
• Ngoài ra còn có các danh sách đen miễn phí cho proxy Squid (phần mềm), chẳng hạn như [https://github.com/maravento/blackweb Blackweb]
• Tường lửa hoặc IDS cũng có thể sử dụng danh sách đen để chặn các địa chỉ IP và/hoặc mạng thù địch đã biết. Một ví dụ cho danh sách như vậy sẽ là dự án OpenBL.
• Tuy nhiên, một dạng danh sách khác là danh sách vàng, đây là danh sách các địa chỉ IP của máy chủ email gửi hầu hết email tốt nhưng lại gửi một số thư rác. Ví dụ bao gồm Yahoo, Hotmail và Gmail. Máy chủ được liệt kê màu vàng là máy chủ không bao giờ được vô tình đưa vào danh sách đen. Danh sách vàng được kiểm tra trước và nếu được liệt kê thì các kiểm tra danh sách đen sẽ bị bỏ qua.
• Nhiều trình duyệt web có khả năng tham khảo danh sách đen chống lừa đảo để cảnh báo những người dùng vô tình truy cập trang web lừa đảo.

Cân nhắc sử dụng

Như đã trình bày trong một bài báo hội nghị gần đây tập trung vào danh sách đen các tên miền và địa chỉ IP được sử dụng để bảo mật Internet, "các danh sách này thường không giao nhau. Do đó, có vẻ như các danh sách này không hội tụ vào một tập hợp các chỉ báo độc hại." Mối quan tâm này kết hợp với một mô hình kinh tế học, có nghĩa là, trong khi danh sách đen là một phần thiết yếu của phòng thủ mạng, chúng cũng cần được sử dụng cùng với danh sách trắng và danh sách xám.

Tranh cãi về việc sử dụng thuật ngữ

Vào năm 2018, một bài bình luận trên tạp chí về một báo cáo về xuất bản săn mồi đã đưa ra tuyên bố rằng "da trắng" và "da đen" là những thuật ngữ mang tính phân biệt chủng tộc cần tránh trong các trường hợp như "danh sách trắng" và "danh sách đen". Tạp chí đã trở thành xu hướng chủ đạo vào Mùa hè năm 2020 sau cuộc biểu tình về George Floyd ở Mỹ, trong đó một người đàn ông da đen bị một sĩ quan sát hại, làm dấy lên các cuộc biểu tình phản đối sự tàn bạo của cảnh sát.

Tiền đề của tạp chí là "đen" và "trắng" có ý nghĩa tiêu cực và tích cực tương ứng.). Bất chấp tính chất bình luận của tạp chí, một số công ty và cá nhân ở những nơi khác đã thay thế "danh sách trắng" và "danh sách đen" bằng các lựa chọn thay thế mới như "danh sách cho phép" và "danh sách từ chối".

Những người phản đối những thay đổi này đặt câu hỏi về sự quy kết của nó đối với chủng tộc, trích dẫn cùng một dẫn chứng từ nguyên mà tạp chí năm 2018 sử dụng. Dẫn chứng gợi ý rằng thuật ngữ "danh sách đen" phát sinh từ "sách đen" gần 100 năm trước. "Sách đen" dường như không có bất kỳ từ nguyên hoặc nguồn nào chứng minh mối quan hệ chủng tộc, thay vào đó xuất phát từ những năm 1400 đề cập đến "danh sách những người đã phạm tội hoặc không được các nhà lãnh đạo ủng hộ" và được phổ biến bởi cách sử dụng sách bìa đen theo nghĩa đen của Vua Henry VIII. Những người khác cũng lưu ý đến sự phổ biến của ý nghĩa tích cực và tiêu cực đối với "da trắng" và "đen" trong Kinh Thánh, trước những quy định về màu da và chế độ nô lệ. Mãi cho đến phong trào Black Power những năm 1960, "Black" mới trở thành một từ phổ biến để chỉ chủng tộc của một người với tư cách là người da màu ở Mỹ (thay thế cho người Mỹ gốc Phi) tự cho mình lập luận rằng ý nghĩa tiêu cực đằng sau "đen" và "danh sách đen" đều có trước khi bị quy kết chủng tộc.

Một số công ty đã phản hồi về cuộc tranh cãi này vào tháng 6 và tháng 7 năm 2020:

• GitHub thông báo sẽ thay thế nhiều "điều khoản có thể gây khó chịu cho các nhà phát triển thuộc cộng đồng người da đen".
• Apple Inc. đã thông báo tại hội nghị nhà phát triển của mình rằng họ sẽ áp dụng ngôn ngữ kỹ thuật toàn diện hơn và thay thế thuật ngữ "danh sách đen" bằng "danh sách từ chối" và thuật ngữ "danh sách trắng" bằng "danh sách cho phép".
• Linux Foundation cho biết họ sẽ sử dụng ngôn ngữ trung lập trong mã nhân và tài liệu trong tương lai và tránh các thuật ngữ như "danh sách đen" và "nô lệ" trong tương lai.
• Nhóm Kỹ thuật của Twitter đã tuyên bố ý định loại bỏ một số thuật ngữ, bao gồm "danh sách đen" và "danh sách trắng".
• Red Hat đã thông báo rằng họ sẽ làm cho nguồn mở trở nên toàn diện hơn và tránh những điều khoản này cũng như các điều khoản khác.
• ZDNet báo cáo rằng danh sách các công ty công nghệ đưa ra quyết định như vậy "bao gồm Twitter, GitHub, Microsoft, LinkedIn, Ansible, Red Hat, Splunk, Android, Go, MySQL, PHPUnit, Curl, OpenZFS, Rust, JP Morgan và những công ty khác."