Two real-world Microsoft 365 attack campaigns — Railway (device code phishing) and LSHIY (ROPC password spray) — bypassed MFA because of Conditional Access misconfigurations. In the LSHIY campaign, 55 of 78 compromised accounts had active MFA policies that simply didn't cover Azure CLI or legacy auth flows. Common gaps included MFA scoped to specific apps rather than all cloud apps, policies in report-only mode, and incorrect trusted location labeling. The post explains how blocking device code flow and restricting legacy auth flows via properly scoped Conditional Access policies would have prevented both attacks, and promotes Huntress Managed ISPM as a tool to detect and remediate these gaps with a learning-mode rollout approach.
Nguồn: https://www.huntress.com/blog/conditional-access-misconfigurations. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Neon bổ sung lệnh api vào CLI, cho phép truy cập trực tiếp toàn bộ REST API thông qua xác thực tự động. Lệnh này giúp giải quyết vấn đề chậm cập nhật tính năng (do CLI thân thiện chỉ hỗ trợ một phần endpoints) và rủi ro quản lý secret (token) khi agent gọi API trực tiếp.
Lập trình viên cần đọc bài này để khám phá cách Neon cải thiện hiệu quả quản lý và sử dụng API REST thông qua một giao diện CLI an toàn, giúp tiết kiệm thời gian và tránh rủi ro khi xử lý token trong các ứng dụng AI.
Xbox vừa thông báo sa thải 3.200 nhân viên, nâng tổng số việc làm bị cắt kể từ khi mua Activision Blizzard lên hơn 7.000. Việc đóng cửa bốn studio nổi tiếng và cách thông báo gây tranh cãi cho thấy chiến lược của Xbox đang gặp khó khăn, khi các kế hoạch như Game Pass hay đa nền tảng không đạt kỳ vọng.
Những thay đổi radical ở Xbox nhắc nhở lập trình viên cần cảnh giác trước những quyết định chiến lược không rõ định hướng, đặc biệt khi thị trường game biến động nhanh như gió, vì một chiến lược cắt giảm không bền vững có thể khiến công ty mất đi những tài năng sáng tạo và cơ hội hợp tác lâu dài.
Một nhà phát triển phàn nàn rằng chu kỳ hỗ trợ 3 năm (LTS) của .NET là quá ngắn, không đủ cho nhu cầu nâng cấp doanh nghiệp khi phiên bản LTS mới ra mắt thì phiên bản cũ chỉ còn 1 năm hỗ trợ. Điều này khiến nhiều doanh nghiệp phải tiếp tục sử dụng .NET Framework cũ hơn do có chu kỳ hỗ trợ dài hơn (khoảng 10 năm) nhờ gắn liền với Windows OS.
Lập trình viên cần đọc bài này để hiểu cách Microsoft đang đối mặt với thách thức phải cân bằng giữa phát triển nhanh chóng của .NET Core/5+ với quy trình bảo mật và hỗ trợ lâu dài của các doanh nghiệp, và quyết định của họ có thể ảnh hưởng đến sự ổn định cho dự án hiện tại.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
Microsoft sẽ ngừng hỗ trợ .NET 8 và .NET 9 vào ngày 10/11/2026, khuyến nghị nâng cấp lên .NET 10 (LTS, hỗ trợ đến 11/2028) bằng cách thay đổi TargetFramework trong project files và cập nhật môi trường phát triển. Các ứng dụng trên phiên bản cũ vẫn chạy nhưng gặp rủi ro bảo mật chưa vá.
Lập trình viên nên đọc bài này để tránh rủi ro về bảo mật và chi phí bảo trì khi ứng dụng của họ vẫn hoạt động nhưng không nhận được cập nhật an toàn sau ngày kết thúc hỗ trợ .NET 8 và 9.
XAA là khung danh tính của Okta thay thế API keys tĩnh và OAuth rải rác bằng cơ chế truyền token dựa trên danh tính giữa các ứng dụng. Để tích hợp XAA vào OIN, ISV phải hỗ trợ OIDC/SAML SSO, triển khai ID-JAG token exchange flows, vượt qua bài test xác minh rồi gửi form chi tiết qua email tới Okta OIN team.
Lập trình viên phát triển ứng dụng cần đọc để hiểu cách xây dựng kết nối bảo mật Cross App Access (XAA) trên Okta, tránh rủi ro bảo mật và tối ưu hóa tính liên kết giữa các ứng dụng theo tiêu chuẩn hiện đại.
Microsoft sa thải khoảng 4.800 vị trí (2,1% lực lượng lao động toàn cầu), chủ yếu tại mảng Thương mại và Xbox, nhằm tái cấu trúc doanh nghiệp trước những thay đổi nhanh chóng của ngành, chứ không phải do AI thay thế trực tiếp. Hãng đã tái bố trí hơn 4.000 nhân viên vào vai trò mới và triển khai chương trình nghỉ hưu tự nguyện trong năm qua. Bốn studio game sẽ chuyển sang quản lý mới, trong khi Microsoft cam kết đào tạo nâng cao kỹ năng (bao gồm AI) cho nhân viên còn lại và hỗ trợ tài chính cho người bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu cách công nghệ lớn như Microsoft ứng dụng chiến lược tái cấu trúc công ty để chuyển đổi sang thị trường đòi hỏi AI và đổi mới nhanh chóng, giúp họ dự đoán xu hướng việc làm trong tương lai và chuẩn bị kỹ năng cho sự phát triển bền vững.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.