Banks like Bank of America, Chase, Capital One, and Citibank treat MFA as optional, leaving customers vulnerable to account takeover. A personal account of an 84-year-old losing $30,000 to thieves who exploited password reuse and lack of MFA illustrates the real-world cost. SMS-based OTPs are highlighted as weak due to SIM-swapping and phishing risks, while passkeys (phishing-resistant cryptographic key pairs) are presented as the correct solution. Banks are slow to mandate stronger authentication due to friction concerns and fear of losing customers, but this convenience-over-security tradeoff ultimately costs both customers and banks money.
Nguồn: https://www.theregister.com/security/2026/07/05/mfa-optional-banks-leave-safe-doors-and-accounts-wide-open-for-thieves-to-pillage/5266161. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.

Bản phát hành LTS mới Red Hat build of Quarkus 3.33 mang đến nhiều cải tiến quan trọng như nâng cấp Hibernate ORM 7.2, Reactive 3.2, Search 8.2, hỗ trợ Java 25 đầy đủ, kiểm soát bảo mật OIDC chi tiết hơn, cùng công nghệ AOT caching (dưới dạng preview) để giảm thời gian khởi động JVM. Ngoài ra, phiên bản này còn bổ sung tích hợp Jakarta Data, mặc định TLS 1.3, băm credential SHA-512, và cải thiện trải nghiệm nhà phát triển với nhiều backend cache, vòng đời đóng gói Maven mới, cũng như hỗ trợ Kafka request-reply (dưới dạng preview).
Lập trình viên phát triển ứng dụng Java doanh nghiệp nên đọc để cập nhật về Quarkus 3.33 LTS, từ đó tối ưu hiệu suất, ổn định và tính bảo mật cho dự án với các tính năng mới như Java 25, TLS 1.3, và cải tiến ORM/Hibernate, đồng thời khám phá các công nghệ tiên tiến như AOT và Kafka SmallRye để nâng cao hiệu suất và kinh nghiệm phát triển.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Vercel Flags giờ đây tự động xác thực thông qua OIDC tokens ngắn hạn mà không cần SDK Keys hay biến môi trường FLAGS cho các triển khai trên Vercel. Chỉ cần vercel link và vercel env pull là đủ cho phát triển local, trong khi các dự án cũ vẫn giữ nguyên yêu cầu SDK Keys cho các trường hợp đặc biệt.
Lập trình viên cần đọc bài này để hiểu cách tối ưu hóa quản lý tính năng động (flags) trong dự án Vercel mới nhất, giảm thiểu rủi ro về bảo mật khi sử dụng SDK Keys và khám phá giải pháp tự động hóa cho phát triển và triển khai.
Thiết bị xác thực vân tay không dây DIY mang tên immurok sử dụng vi điều khiển WCH CH592F tích hợp Bluetooth và cảm biến vân tay R559S. Nó hoạt động như một bàn phím HID Bluetooth, xử lý so khớp vân tay cục bộ mà không truyền dữ liệu sinh trắc học, và tương thích với PAM trên Linux/macOS để ủy quyền sudo/login hệ thống.
Là người phát triển cần thiết lập hệ thống bảo mật tự động cho terminal trên Linux/macOS mà không phụ thuộc vào mật khẩu, bài viết này sẽ hướng dẫn cách xây dựng giải pháp an toàn bằng cảm biện ngón tay mà không cần truyền dữ liệu sinh trắc học.
Redpin triển khai quan sát toàn ngăn xếp (full-stack observability) cho nền tảng thanh toán quốc tế trị giá 10 tỷ bảng Anh bằng cách tích hợp OpenTelemetry, AI phân tích nguyên nhân gốc (CX-AI, Olly) và Coralogix, giúp giảm thời gian xử lý sự cố từ hàng giờ xuống phút, tối ưu chi phí dữ liệu thông qua thu thập mẫu (tail sampling) và cải thiện hiệu suất nhờ giám sát người dùng thực (RUM).
Lập trình viên cần đọc bài này để hiểu cách triển khai OpenTelemetry và full-stack observability để tối ưu hóa hiệu suất, giảm thời gian khắc phục lỗi và giảm chi phí vận hành cho các ứng dụng phân tán lớn như hệ thống thanh toán quốc tế.
Tấn công brute force tự động đoán mật khẩu quy mô lớn bằng công cụ như Hydra, Hashcat và Burp Suite, với các biến thể như dictionary attack, hybrid attack, password spraying và credential stuffing. Hướng dẫn cung cấp ví dụ thực tế (cuộc tấn công GRU qua Kubernetes, vụ lộ dữ liệu T-Mobile) và checklist phòng thủ gồm rate limiting, MFA, độ dài mật khẩu, giám sát đa tài khoản cùng giảm diện tích tấn công. Hai quan niệm sai lầm phổ biến cũng bị bác bỏ: độ phức tạp mật khẩu không đủ bảo vệ, và khóa tài khoản không ngăn được spraying attack.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống của mình trước các cuộc tấn công tự động hóa, từ kiến thức về các kỹ thuật tấn công phổ biến đến cách tối ưu hóa bảo mật bằng các giải pháp thực tế như xác thực đa yếu tố và hạn chế tốc độ truy cập.
Germany's cooperative and savings banks are rolling out cryptocurrency trading to tens of millions of retail customers, reversing a position held just four years ago when they cited 'incalculable risks.' DZ Bank has already secured a MiCA licence from BaFin and launched the 'meinKrypto' platform integrated into its VR Banking App, supporting Bitcoin, Ethereum, Litecoin, and Cardano. DekaBank is building a separate platform for the Sparkassen network's roughly 50 million customers, expected later this year. The shift was enabled by the EU's MiCA regulation, which replaced fragmented national rules with a unified licensing framework. Banks are betting on customer trust — Germans trust their primary bank more than twice as much as crypto exchanges — and on staying relevant against digital-first competitors. Critics, including academics and the savings banks' own lobby group, warn that traditional customers may not fully understand the risks of highly speculative crypto assets.