Security

Bảo mật không phải việc riêng của team security — mọi developer đều cần hiểu. Một lỗ hổng XSS hay SQL injection có thể khiến cả hệ thống bị hack. Hiểu thuật ngữ security bằng tiếng Anh giúp bạn viết code an toàn hơn và communicate rõ ràng hơn với team. Let’s go! 🔒 🔹 Mã hóa & Token English IPA Tiếng Việt Example encryption /ɪnˈkrɪpʃən/ mã hóa dữ liệu We use AES-256 encryption to protect sensitive data at rest. decryption /diːˈkrɪpʃən/ giải mã dữ liệu The server performs decryption using the private key to read the message. hash /hæʃ/ băm — chuyển dữ liệu thành chuỗi cố định, không thể đảo ngược We store password hashes using bcrypt instead of plain text. token /ˈtoʊkən/ mã xác thực tạm thời The API returns an access token after successful login. 🔹 Xác thực & Ủy quyền English IPA Tiếng Việt Example OAuth /oʊ.ɔːθ/ giao thức ủy quyền mở Users can sign in with Google using OAuth 2.0 without sharing their password. JWT /dʒɒt/ JSON Web Token — token mang thông tin xác thực The JWT contains the user ID and expiration time, signed with a secret key. certificate /sərˈtɪfɪkət/ chứng chỉ số — xác minh danh tính server The SSL certificate expired, causing browsers to show a security warning. 🔹 Lỗ hổng phổ biến English IPA Tiếng Việt Example XSS /ˌɛks.ɛs.ˈɛs/ Cross-Site Scripting — chèn script độc hại Sanitize all user input to prevent XSS attacks on the frontend. SQL injection /ˌɛs.kjuː.ˈɛl ɪnˈdʒɛkʃən/ chèn mã SQL độc hại vào truy vấn Always use parameterized queries to prevent SQL injection. CSRF /ˈsiː.sɜːrf/ Cross-Site Request Forgery — giả mạo request từ site khác Add a CSRF token to every form to prevent unauthorized submissions. CORS /kɔːrz/ Cross-Origin Resource Sharing — kiểm soát truy cập cross-domain Configure CORS headers to allow requests only from your frontend domain. 🔹 Phòng thủ & Kiểm tra English IPA Tiếng Việt Example vulnerability /ˌvʌlnərəˈbɪləti/ lỗ hổng bảo mật The security scan found a critical vulnerability in the authentication module. penetration testing /ˌpɛnəˈtreɪʃən ˈtɛstɪŋ/ kiểm thử xâm nhập We hired a firm to perform penetration testing before the product launch. patch /pætʃ/ bản vá lỗi Apply the security patch immediately to fix the remote code execution vulnerability. 💡 Mẹo ghi nhớ Encryption vs Hashing: Encryption = khóa tủ (có chìa mở lại). Hashing = xay thịt (không thể “un-xay” lại). Password phải hash (không cần giải mã), còn tin nhắn phải encrypt (cần đọc lại). XSS vs CSRF: XSS = hacker chèn script vào website bạn. CSRF = hacker lừa browser bạn gửi request đến website khác mà bạn đang login. Cả hai đều nguy hiểm! JWT đọc là “jot” (không phải J-W-T) — đây là cách phát âm chính thức từ RFC 7519. 📝 Bài tập Điền từ thích hợp vào chỗ trống: ...

Nếu bạn làm việc với AWS, IAM (Identity and Access Management) là thứ bạn chạm vào hàng ngày — từ tạo user, gán quyền, đến cấu hình MFA. Hiểu đúng thuật ngữ tiếng Anh sẽ giúp bạn đọc docs nhanh hơn và trao đổi chính xác hơn với team. Cùng bắt đầu nhé! 📚 Bảng Từ Vựng 🔹 Danh tính & Nhóm (Identity & Groups) English IPA Tiếng Việt Example user /ˈjuːzər/ người dùng (tài khoản IAM) Each developer should have their own IAM user instead of sharing credentials. group /ɡruːp/ nhóm người dùng We added all backend devs to the “Developers” group so they share the same permissions. principal /ˈprɪnsəpəl/ chủ thể (thực thể được cấp quyền) The principal in this policy refers to the Lambda execution role. identity provider /aɪˈdentəti prəˈvaɪdər/ nhà cung cấp danh tính We configured Google Workspace as an identity provider for SSO into AWS. 🔹 Vai trò & Phân quyền (Roles & Permissions) English IPA Tiếng Việt Example role /roʊl/ vai trò (bộ quyền tạm thời) The EC2 instance uses an IAM role to access S3 without hardcoded keys. policy /ˈpɑːləsi/ chính sách (tài liệu định nghĩa quyền) Attach a read-only policy to the auditor group. permission /pərˈmɪʃən/ quyền truy cập This role doesn’t have permission to delete objects from the production bucket. resource-based policy /ˈriːsɔːrs beɪst ˈpɑːləsi/ chính sách gắn trên tài nguyên We used a resource-based policy on the S3 bucket to allow cross-account access. condition /kənˈdɪʃən/ điều kiện (trong policy) The condition block restricts access to requests coming from our office IP range. 🔹 Bảo mật & Uỷ quyền (Security & Delegation) English IPA Tiếng Việt Example MFA /ˌem ef ˈeɪ/ xác thực đa yếu tố Enable MFA on the root account — it’s the first thing you should do. access key /ˈækses kiː/ khoá truy cập (cho API/CLI) Rotate your access keys every 90 days as a security best practice. trust relationship /trʌst rɪˈleɪʃənʃɪp/ mối quan hệ tin cậy (giữa role và principal) Edit the trust relationship to allow the CI/CD account to assume this role. STS /ˌes tiː ˈes/ dịch vụ cấp token tạm thời STS issues temporary credentials when a user assumes a cross-account role. assume role /əˈsuːm roʊl/ nhận vai trò (lấy quyền tạm thời) The deployment script calls assume role to get temporary credentials for production. 💡 Mẹo Ghi Nhớ Policy vs Permission: Policy là “tài liệu” chứa các rules, còn permission là “quyền cụ thể” bên trong policy đó. Một policy có thể chứa nhiều permissions. User vs Role: User là danh tính cố định (dùng password/access key), còn Role là bộ quyền tạm thời mà ai đó “assume” khi cần — giống như mượn thẻ ra vào rồi trả lại. STS + Assume Role luôn đi cùng nhau: STS là dịch vụ phát hành “vé tạm”, assume role là hành động xin vé đó. 📝 Bài Tập Điền từ thích hợp vào chỗ trống: ...