Пароли пользователей на почту админку или через СМС сервис

1 234
SV
На сайте с 03.11.2008
Online
1346
#31
edogs:
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.? Удобная у Вас память.

Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)

В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
edogs software
На сайте с 15.12.2005
Offline
714
#32
SeVlad:
Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)

Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.

SeVlad:
В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.

На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
SV
На сайте с 03.11.2008
Online
1346
#33
edogs:
Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.

Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)

edogs:
На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.

Т.е. по сути вам ответить нечего...

edogs software
На сайте с 15.12.2005
Offline
714
#34
SeVlad:
Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)

Это какой-то несвязный бред. Теперь Вы почему-то заговорили о наших личностях, спрашиваете при чем тут они и рассуждаете о каких-то "разработчиках". Тема назывется "пароли пользователея на почту", напоминаем.

SeVlad:
Т.е. по сути вам ответить нечего...

Мы уже ответили, на что Вам и указали.

S
На сайте с 30.09.2016
Offline
459
#35

edogs, а ведь так много слов было, и всё потёрли. Не нервничайте. 🙅

Вы, на самом деле, тоже не всё понимаете. Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается. Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
SV
На сайте с 03.11.2008
Online
1346
#36
edogs:
рассуждаете о каких-то "разработчиках".

Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.

А по факту вы даже ламерней тех ламеров, что кодируют пароли в base64. И это не оскорбление, а констатация фактов.

Sitealert:
что у ссылок ограничивают время жизни, у паролей же это не делается.

Справедливости ради - и у паролей это можно делать. И делается, но реже. Реже встречается потому, что ни одна уважающий себя система никогда и никому не будет сообщать пароль открытым текстом. Просто потому, что у неё его нет.

edogs software
На сайте с 15.12.2005
Offline
714
#37
SeVlad:
Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.
А по факту вы даже ламерней ламеров, И это не оскорбление, а констатация фактов.

Опять набор голословных утверждений с хамством и переходом на личности. Очень симптоматично.

Впрочем, нам тут в голову мысль пришла, мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами, но очень недоволен предыдущим программистом. И тут вдруг Вы, ранее общавшийся с нами адекватно, прямо таки агритесь, хамите и переходите на личности. Похоже смысла продолжать с Вами диалог нет, развлекайтесь дальше без наших ответов.

Sitealert:
на самом деле, тоже не всё понимаете.

Отлично понимаем, просто шире смотрим на вещи.

Мы выше отметили, что собственно вход по паролю сам по себе не идеально безопасен (тот же вход по ключам/цифровой подписи лучше), поэтому речь в любом случае о компромиссе, а SeVlad вон уверен что проблема с безопасностью только когда его на почту присылают, а ссылки можно хоть веером рассылать.

Sitealert:
Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается.

Так это им не делается:) Но сама возможность есть и кое-где так делается, натыкались на это не раз и сами такое реализовывали.

Sitealert:
Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.

Но самоцель же не ссылка или пароль, самоцель защита входа и именно для входа надо вводить различные свойства. В конечном итоге все зависит от степени защиты которая требуется. Если у хакера есть доступ к почте, то он всегда закажет ссылку и восстановит пароль заново. Если же у хакера есть доступ к смс, то он сделает то же самое. Поэтому если заботит защита входа от этого вектора атак, то и ссылка не пригодна, если же защита от этого вектора атак не беспокоит, то и пароль будет адекватной мерой.

Мы с самого начала говорили про ключевое слово "так же". Ссылка практически так же безопасна/небезопасна как и присылка пароля, при этом генерация пароля имеет уже тот плюс, что он будет уникальный и сложный.

Наши же оппоненты зациклились на идее (никем не высказанной) что раз мол пароль посылается, то он и в базе хранится в открытом виде. А когда им указали на то, что это не обязательно так - начили агриться. Поэтому диалог и пошел в неконструктивной манере.

SV
На сайте с 03.11.2008
Online
1346
#38
edogs:
мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами,

Нашел чем удивить... Местные "вебстудии" даже html не знают. Так что далатели "аудита" безопасности не понимающие основ тут не исключение.

IL
На сайте с 20.04.2007
Offline
412
#39

Из свежего про SMS - https://habr.com/ru/news/t/453488/

Можно, конечно, сказать, что для большого количества сайтов это всё не имеет значения, поскольку сайт, как Неуловимый Джо... )))

1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий