Komentarze do: Podstawy zabezpieczania logowania.

Autor: Między neuronami a bitami » Blog Archive » Parę słów o szyfrowaniu i bezpieczeństwie

Tue, 10 Mar 2009 09:29:32 +0000

[...] należy powyłączać, komu co pozwolić opisano tutaj. Jeśli nie używamy HTTPS (SSL), to dane są przesyłane jawnie, czyli login i hasło można [...]

Autor: Nitro

Nitro — Thu, 26 Jun 2008 00:38:18 +0000

Przynajmniej wiem co oznacza no-cache :)

A mam pytanie: Jeżeli poodwiedzam jakiś serwis to tworzy się w pasku adresu w historii długa lista linków typu: serwis.pl/?idz=mapa serwis.pl/?idz=zobacz&co=wroclaw itd.
Czy no-cache "blokuje" wpisywanie się takich linków i pozwala na przetrzymanie tylko jednego linku czyli serwis.pl?

W sprawie certów SSL. Jeżeli robimy sami to przeglądarka będzie krzyczeć że nasz cert nie jest zaufany. Dlaczego? Bo nie ma podpisu wystawcy w naszej lokalnej "bazie podpisów". Co zrobić? Dwa razy na cert, dać na tak i mieć spokój, chyba że się do czegoś innego przyczepi. Mi się udało wystawić cert-myself na 33lat! I chyba to maksimum.

Pozdrawiam

Autor: Michał "Bełdzio" Ławicki

Michał "Bełdzio" Ławicki — Tue, 11 Mar 2008 19:26:54 +0000

Tyle, że ilość niepoprawnych logowań zapisana jest z bazie danych, a nie w ciachu.

Autor: netmare

netmare — Tue, 11 Mar 2008 19:17:32 +0000

Koledze chyba chodziło o to, że jeśli limit niepoprawnych logowań będzie ustawiony na więcej niż 1, to każdorazowe wyczyszczenie ciastka przed logowaniem spowoduje ominięcie tego zabezpieczenia ;)

Autor: Michał "Bełdzio" Ławicki

Michał "Bełdzio" Ławicki — Sat, 29 Dec 2007 10:55:44 +0000

Nie do końca :) Ja np. sesje mam oparte o baze danych + tak jak pisałem zapisujesz jakieś info, które identyfikuje danego usera np. IP :) po połączeniu obu czynników działa to całkiem znośnie :)

Autor: phjr

phjr — Sat, 29 Dec 2007 10:29:59 +0000

Co do banlisty: trzymanie jej w sesji spowoduje, że całkowicie straci ona efektywność – wystarczy, że przy każdym nowym połączeniu/próbie bot będzie korzystał z nowej sesji…

Autor: Michał "Bełdzio" Ławicki

Michał "Bełdzio" Ławicki — Fri, 28 Dec 2007 22:33:40 +0000

Dobrze wiedzieć:)

Autor: Ktos

Ktos — Fri, 28 Dec 2007 22:28:54 +0000

Akurat do SSL/HTTP nie jest konieczne wykupienie certyfikatu bo do zastosowań na przykład "własnych" może wystarczyć certyfikat self-signed.

Bądź da się znaleźć na przykład darmowe certyfikaty SSL ważne przez rok podpisane przez zaufane centrum certyfikacji (http://cert.startcom.org/).

Autor: Michał "Bełdzio" Ławicki

Michał "Bełdzio" Ławicki — Thu, 27 Dec 2007 21:05:46 +0000

ad1. ups :) dzięki :)

ad2. prawda, tylko żę my jako programiści nie mamy w kwestii edukowania zbyt wiele do powiedzenia :) A jeśli chodzi o bezpieczne rozwiązania to będą o tym niedługo 2 notki :)

Autor: Hash

Hash — Thu, 27 Dec 2007 20:56:54 +0000

1. jak piszesz:
Na szczęście możemy zabronić przeglądarką cache'owania stron.
Przeczytaj i znajdź błąd :) Drobny, jednak wkurzający

2. Sama notka może okazać się dosyć ciekawa. Prawdą jest jednak, że żadne z tych rozwiązań nie gwarantuje bezpieczeństwa. Wszak nie tylko to, jak programista zabezpieczy skrypt jest ważne, lecz także jak mocno użytkownik jest odpowiedzialny i "doinformowany".