Единая база пользователей

ArbNet
На сайте с 27.10.2019
Offline
46
1242

Я раньше делал проект с единой базой пользователей. Тогда мой сайт был взломан именно из-за уязвимости авторизации с разных сайтов.

Тут вот в чём проблема. Когда все сайты имеют одного владельца, он не заинтересован в краже данных пользователей, так как они у него в доступе. А когда авторизация происходит с сайтов других владельцев тогда эти владельцы могут встроить некий код на своём сайте и украсть данные пользователя, например пароль. Поэтому я противник регистрации через соц сети, так как сторонние сервисы легко могут получить доступ в вашему аккаунту, использовать в своих целях или продать данные злоумышленникам.

Сейчас задумал снова сделать единую базу пользователей на разных сайтах с разными владельцами с улучшенной защитой. Есть ассиметричное шифрование RSA. При регистрации генерируются приватный и публичный ключи. Приватный сохраняется в базе основного сайта, а публичный передаётся пользователю. Затем при авторизации на другом сайте пользователь указывает путь к своему публичному ключу, вводит логин, логин шифруется js скриптом и запрашивается авторизация на основном сайте. Логин расшифровывается приватным ключом и если совпадает, то передаются данные пользователя.

На первый взгляд всё защищено и хорошо. Но владелец другого сайта так же может встроить код чтобы украсть публичный ключ и потом получить доступ к аккаунту с других сайтов.

У кого есть какие мысли? :)

Блажен, кто не стремится сделать лучше: он не рискует быть не понятым.
[Удален]
#1

Очередной высер недоучки.

I
На сайте с 24.01.2018
Offline
78
#2

Сами же себе противоречите.

То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.

ArbNet
На сайте с 27.10.2019
Offline
46
#3
Miha Kuzmin (KMY):
Очередной высер недоучки.

А это высер недоумка :)

_
На сайте с 24.03.2008
Offline
357
#4

Только дебилы делают системы шифрования, которые рассчитаны на то, что кто-то не знает ПУБЛИЧНОГО ключа.

Только дебилы передают ключи, а не ими зашифрованное (либо имеют такую возможность).

Выб хоть википедию почитали. Ну хоть одну статью.

Всё это "не взлетит". Потому что есть фейсбук, вконтакте, гугл и многие другие места с помощью которых УЖЕ можно авторизоваться.

И внедрять говнопродукт от говноразработчика никто к себе не будет.

Особенно в авторизацию.

S
На сайте с 30.09.2016
Offline
459
#5

Если есть возможность писать свой код на сервере, то есть и возможность всё украсть с этого сервера.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
_
На сайте с 24.03.2008
Offline
357
#6
imasiter:
Сами же себе противоречите.
То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.

У него будет свой. С блекджеком и CMS.

Чё там с CMS интересно, попустило :) ?

ArbNet
На сайте с 27.10.2019
Offline
46
#7
imasiter:
Сами же себе противоречите.
То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.

Я знаю что это уязвимо, поэтому через соц сети никому на разных сайтах авторизоваться не советую, к вашему аккаунту легко могут получить доступ, поэтому в соц сетях так часто взламывают аккаунты.

Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома, поэтому думаю как улучшить защиту.

---------- Добавлено 10.01.2020 в 10:35 ----------

_SP_:
Только дебилы делают системы шифрования ...

Только дебилы так могут думать :)

S
На сайте с 30.09.2016
Offline
459
#8
ArbNet:
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома

Не выйдет. Если не запретить кодить на сервере.

I
На сайте с 24.01.2018
Offline
78
#9
ArbNet:
Я знаю что это уязвимо, поэтому через соц сети никому на разных сайтах авторизоваться не советую, к вашему аккаунту легко могут получить доступ, поэтому в соц сетях так часто взламывают аккаунты.
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома, поэтому думаю как улучшить защиту.

Ну и чем Ваша система будет лучше, чем система от тех же соцсетей?

В чем принципиальная-то разница, если все равно внешний сервис?

Почему владелец сайта должен будет поверить Вашей системе, а не хотя бы тем же соцсетям? Или вообще не использовать внешние сервисы, если уж на то пошло? Зачем вообще морочиться с этими публичными и прочими ключами, если можно использовать обычную авторизацию внутри одного своего сайта, и все?

S
На сайте с 30.09.2016
Offline
459
#10
imasiter:
В чем принципиальная-то разница, если все равно внешний сервис?

Вы просто не в теме. ТС разрабатывает хренворк, на котором якобы будет куча сайтов, которые будут сидеть на его сервере. База данных у всех этих сайтов одна, и соответственно все владельцы сайтов в этой базе. Вот он теперь и думает, как их изолировать друг от друга.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий