- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.? Удобная у Вас память.
Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)
В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.
Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)
Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.
В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.
На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.
Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.
Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)
На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.
Т.е. по сути вам ответить нечего...
Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)
Это какой-то несвязный бред. Теперь Вы почему-то заговорили о наших личностях, спрашиваете при чем тут они и рассуждаете о каких-то "разработчиках". Тема назывется "пароли пользователея на почту", напоминаем.
Т.е. по сути вам ответить нечего...
Мы уже ответили, на что Вам и указали.
edogs, а ведь так много слов было, и всё потёрли. Не нервничайте. 🙅
Вы, на самом деле, тоже не всё понимаете. Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается. Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.
рассуждаете о каких-то "разработчиках".
Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.
А по факту вы даже ламерней тех ламеров, что кодируют пароли в base64. И это не оскорбление, а констатация фактов.
что у ссылок ограничивают время жизни, у паролей же это не делается.
Справедливости ради - и у паролей это можно делать. И делается, но реже. Реже встречается потому, что ни одна уважающий себя система никогда и никому не будет сообщать пароль открытым текстом. Просто потому, что у неё его нет.
Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.
А по факту вы даже ламерней ламеров, И это не оскорбление, а констатация фактов.
Опять набор голословных утверждений с хамством и переходом на личности. Очень симптоматично.
Впрочем, нам тут в голову мысль пришла, мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами, но очень недоволен предыдущим программистом. И тут вдруг Вы, ранее общавшийся с нами адекватно, прямо таки агритесь, хамите и переходите на личности. Похоже смысла продолжать с Вами диалог нет, развлекайтесь дальше без наших ответов.
на самом деле, тоже не всё понимаете.
Отлично понимаем, просто шире смотрим на вещи.
Мы выше отметили, что собственно вход по паролю сам по себе не идеально безопасен (тот же вход по ключам/цифровой подписи лучше), поэтому речь в любом случае о компромиссе, а SeVlad вон уверен что проблема с безопасностью только когда его на почту присылают, а ссылки можно хоть веером рассылать.
Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается.
Так это им не делается:) Но сама возможность есть и кое-где так делается, натыкались на это не раз и сами такое реализовывали.
Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.
Но самоцель же не ссылка или пароль, самоцель защита входа и именно для входа надо вводить различные свойства. В конечном итоге все зависит от степени защиты которая требуется. Если у хакера есть доступ к почте, то он всегда закажет ссылку и восстановит пароль заново. Если же у хакера есть доступ к смс, то он сделает то же самое. Поэтому если заботит защита входа от этого вектора атак, то и ссылка не пригодна, если же защита от этого вектора атак не беспокоит, то и пароль будет адекватной мерой.
Мы с самого начала говорили про ключевое слово "так же". Ссылка практически так же безопасна/небезопасна как и присылка пароля, при этом генерация пароля имеет уже тот плюс, что он будет уникальный и сложный.
Наши же оппоненты зациклились на идее (никем не высказанной) что раз мол пароль посылается, то он и в базе хранится в открытом виде. А когда им указали на то, что это не обязательно так - начили агриться. Поэтому диалог и пошел в неконструктивной манере.
мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами,
Нашел чем удивить... Местные "вебстудии" даже html не знают. Так что далатели "аудита" безопасности не понимающие основ тут не исключение.
Из свежего про SMS - https://habr.com/ru/news/t/453488/
Можно, конечно, сказать, что для большого количества сайтов это всё не имеет значения, поскольку сайт, как Неуловимый Джо... )))