- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Я раньше делал проект с единой базой пользователей. Тогда мой сайт был взломан именно из-за уязвимости авторизации с разных сайтов.
Тут вот в чём проблема. Когда все сайты имеют одного владельца, он не заинтересован в краже данных пользователей, так как они у него в доступе. А когда авторизация происходит с сайтов других владельцев тогда эти владельцы могут встроить некий код на своём сайте и украсть данные пользователя, например пароль. Поэтому я противник регистрации через соц сети, так как сторонние сервисы легко могут получить доступ в вашему аккаунту, использовать в своих целях или продать данные злоумышленникам.
Сейчас задумал снова сделать единую базу пользователей на разных сайтах с разными владельцами с улучшенной защитой. Есть ассиметричное шифрование RSA. При регистрации генерируются приватный и публичный ключи. Приватный сохраняется в базе основного сайта, а публичный передаётся пользователю. Затем при авторизации на другом сайте пользователь указывает путь к своему публичному ключу, вводит логин, логин шифруется js скриптом и запрашивается авторизация на основном сайте. Логин расшифровывается приватным ключом и если совпадает, то передаются данные пользователя.
На первый взгляд всё защищено и хорошо. Но владелец другого сайта так же может встроить код чтобы украсть публичный ключ и потом получить доступ к аккаунту с других сайтов.
У кого есть какие мысли? :)
Очередной высер недоучки.
Сами же себе противоречите.
То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.
Очередной высер недоучки.
А это высер недоумка :)
Только дебилы делают системы шифрования, которые рассчитаны на то, что кто-то не знает ПУБЛИЧНОГО ключа.
Только дебилы передают ключи, а не ими зашифрованное (либо имеют такую возможность).
Выб хоть википедию почитали. Ну хоть одну статью.
Всё это "не взлетит". Потому что есть фейсбук, вконтакте, гугл и многие другие места с помощью которых УЖЕ можно авторизоваться.
И внедрять говнопродукт от говноразработчика никто к себе не будет.
Особенно в авторизацию.
Если есть возможность писать свой код на сервере, то есть и возможность всё украсть с этого сервера.
Сами же себе противоречите.
То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.
У него будет свой. С блекджеком и CMS.
Чё там с CMS интересно, попустило :) ?
Сами же себе противоречите.
То Вы противник регистрации через внешние сервисы, то уже сами такое создавать собираетесь.
Я знаю что это уязвимо, поэтому через соц сети никому на разных сайтах авторизоваться не советую, к вашему аккаунту легко могут получить доступ, поэтому в соц сетях так часто взламывают аккаунты.
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома, поэтому думаю как улучшить защиту.
---------- Добавлено 10.01.2020 в 10:35 ----------
Только дебилы делают системы шифрования ...
Только дебилы так могут думать :)
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома
Не выйдет. Если не запретить кодить на сервере.
Я знаю что это уязвимо, поэтому через соц сети никому на разных сайтах авторизоваться не советую, к вашему аккаунту легко могут получить доступ, поэтому в соц сетях так часто взламывают аккаунты.
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома, поэтому думаю как улучшить защиту.
Ну и чем Ваша система будет лучше, чем система от тех же соцсетей?
В чем принципиальная-то разница, если все равно внешний сервис?
Почему владелец сайта должен будет поверить Вашей системе, а не хотя бы тем же соцсетям? Или вообще не использовать внешние сервисы, если уж на то пошло? Зачем вообще морочиться с этими публичными и прочими ключами, если можно использовать обычную авторизацию внутри одного своего сайта, и все?
В чем принципиальная-то разница, если все равно внешний сервис?
Вы просто не в теме. ТС разрабатывает хренворк, на котором якобы будет куча сайтов, которые будут сидеть на его сервере. База данных у всех этих сайтов одна, и соответственно все владельцы сайтов в этой базе. Вот он теперь и думает, как их изолировать друг от друга.