-
Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!not
-for-mail
From: Peter May <p...@o...pl>
Newsgroups: pl.comp.www
Subject: Re: Opcja "zapamiętaj hasło" lokalnie - jak bezpiecznie
Date: Tue, 17 Aug 2010 23:41:57 +0200
Organization: http://onet.pl
Lines: 74
Message-ID: <i4evn6$pcg$1@news.onet.pl>
References: <i4eshe$gdf$1@news.onet.pl> <8...@k...net>
NNTP-Posting-Host: 188.146.5.68.nat.umts.dynamic.eranet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: news.onet.pl 1282081321 26000 188.146.5.68 (17 Aug 2010 21:42:01 GMT)
X-Complaints-To: n...@o...pl
NNTP-Posting-Date: Tue, 17 Aug 2010 21:42:01 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.8) Gecko/20100802
Lightning/1.0b2 Thunderbird/3.1.2
In-Reply-To: <8...@k...net>
Xref: news-archive.icm.edu.pl pl.comp.www:396482
[ ukryj nagłówki ]W dniu 2010-08-17 23:07, Konrad Kosmowski pisze:
> ** Peter May<p...@o...pl> wrote:
>
>> Zastanawiam się nad tym, jak bezpiecznie zrealizować nierzadko widzianą opcję
>> "Zapamiętaj mnie" lub "Zapamiętaj hasło",
>
> Chodzi Ci o funkcję przeglądarki - każda sensowna ma wbudowany menadżer haseł,
> który trzyma hasła po stronie przeglądarki i w dodatku pozwala je zaszyfrować
> np. master hasłem czy w ogóle z użyciem urządzenia kryptograficznego (np. karty
> inteligentnej, pliku certyfikatu whatever).
Nie chodzi mi o to, że już praktycznie wszystkie przeglądarki potrafią
zapamiętać hasło i login nie rzadko. To ja wiem, ale trudno jest czasem
wytłumaczyć to klientowi. Niektórzy są niereformowalni klienci :/
> Czy chodzi Ci o ptaszek "zapamiętaj mnie" w formularzu, który po prostu wydłuża
> czas trwania sesji?
Chodzi mi o checkboksa.
>> itp. Wydaje się, że hasło musi być trzymane w cookie, a już na pewno
>> szyfrowane.
>
> Hasło trzymane w cookie? Jeżeli już to żeton sesji.
A czy ja tam wiem co mam trzymać w cookie w w/w funkcjonalności? Nie, bo
nigdy czegoś takiego nie potrzebowałem. No ale znalazł się jeden, co na
GMailu coś takiego widział i chce mieć takie coś, jak "Zapamiętaj mnie".
Dlatego pytam, by zastosować jakieś sensownie rozwiązania do w/w
funkcjonalności.
>> Pytanie tylko jak sensowne podejść do tematu? Głównie od strony
>> bezpieczeństwa.
>
> Bezpieczeństwa czego? Znowu te samo bezsensowne podejście do bezpieczeństwa...
Dlaczego bezsensowne? Działam wg zasady: nie wiem, to pytam. Krótko
mówiąc chcę osiągnąć cel w postaci takiej funkcjonalności, że po wejściu
na wskazaną stronę użytkownik będzie mógł "zapamiętać" dane logowania,
aby następnym razem od razu mu się pola wypełniły właściwymi danymi.
Ja wiem, że to nie najlepszy pomysł, bo przeglądarki potrafią pamiętać
hasła. Ale przecież może być sytuacja, w której przeglądarka nie
zapamięta hasła sama z siebie.
> A co chcesz zabezpieczać? Transakcyjny serwis bankowy? Widziałeś tam kiedyś
Nie, nie serwis transakcyjny. Gdybym mógł, to zrobiłbym tak, jak w
bankach, czyli jedna strona to login, druga to hasło z losowo wybranymi
polami. To uważam za dość bezpieczne, choć ekspertem od bezpieczeństwa
nie jestem.
A zabezpieczyć chcę dane (login i hasło), które miałyby być
przechowywane lokalnie na komputerze klienta. Brzmi to idiotycznie, a
mam wrażenie, że to chyba nie ten kierunek.
> taki ptaszek? Bo ja nie. Czy może dostęp do forum o dupie Dody - tak tutaj
> ptaszki się znajdą. Czy wszystko in-between? Bo to już zależy...
Nie jest to miejsce, które musiałbym zabezpieczyć tak, jak banki, ale
znowuż nie chciałbym tego lekceważyć i bagatelizować.
> Wszystko zależy od przyjętej polityki, która wynika z tego jakie właściwie jest
> zagrożenie/ryzyko, jaki jest poziom wiedzy użytkowników, czego można od nich
> wymagać itd.
Z reguły trzeba myśleć za klientów, bo oni nie bardzo mają świadomość
skali zagrożenia dopóty, dopóki coś się nie stanie. Chcę to w miarę na
tyle dobrze zrealizować, aby zachować jakieś minimum rozsądnego
bezpieczeństwa.
--
Peter
Następne wpisy z tego wątku
- 17.08.10 22:01 Konrad Kosmowski
- 18.08.10 17:17 Paweł Piskorz
- 18.08.10 18:11 Peter May
- 18.08.10 18:22 Peter May
- 19.08.10 23:18 Konrad Kosmowski
- 20.08.10 07:05 Vax
- 21.08.10 09:42 Sergiusz Rozanski
- 25.08.10 19:19 Peter May
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2025-01-17 Wróblewo => Analityk finansowy <=
- 2025-01-17 Żerniki => Specjalista ds. Employer Brandingu <=
- 2025-01-17 pradnica krokowa
- 2025-01-17 Warszawa => International Freight Forwarder <=
- 2025-01-17 Warszawa => Helpdesk Specialist <=
- 2025-01-17 Kraków => User Experience Designer <=
- 2025-01-17 Nieustający podziw...
- 2025-01-17 zawsze parkuj tyłem do ulicy
- 2025-01-16 nie będzie naprawy pod blokiem?
- 2025-01-16 korytarz zycia
- 2025-01-16 Katowice => Key Account Manager (ERP) <=
- 2025-01-16 Środa Wielkopolska => Specjalista ds. public relations <=
- 2025-01-16 Poznań => Konsultant Wdrożeniowy Comarch XL/Optima (Księgowość i
- 2025-01-16 Gdańsk => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2025-01-16 Re: Bodnatura BARDZO tanio wyceniła Owsiaka. HAŃBA!