Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 21.05.2019, 01:36   #31
Sitealert
Слесарь-сайтосборщик
 
Регистрация: 30.09.2016
Адрес: Замкадье
Сообщений: 4,751
Репутация: 332592

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.?
Ну и как эта проверка сработает при входе с другого устройства? Если у админа динамический IP и он может заходить с разных устройств?
Другое дело, что эта проверка мало где используется "из коробки".
__________________
Отпилю лишнее, прикручу нужное, выправлю кривое.
Вытравлю вредителей.
Sitealert вне форума   Ответить с цитированием

Реклама
Старый 21.05.2019, 02:41   #32
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,899
Репутация: 85725
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от Sitealert Посмотреть сообщение
Ну и как эта проверка сработает при входе с другого устройства?
Так же как и при получении ссылки Ключевое слово "так же". Т.е. если делать эти проверки, то они будут мешать (или помогать) везде.
Цитата:
Сообщение от Sitealert Посмотреть сообщение
Если у админа динамический IP и он может заходить с разных устройств?
Пущай все и авторизирует. В принципе после авторизации 2-3 устройств вопрос для обычных юзеров снимается, поэтому у нас заказчики достаточно часто соглашаются на такой вариант. Опять же, можно позволить юзеру настраивать это все - как минимум ИП проверку позволить отключить или сделать проверку хотя бы по региону + пробивать на принадлежность к фрипрокси и тору. Варианты-то решения есть, вопрос просто в том кто как заморачивается.
И баланс в целом сводится даже не к "безопасности/сложности реализации", сколько к "безопасности/удобству для юзера". Кому нужен офигенно безопасный сайт на который никто не ходит - пусть отключит его от интернетов и положит в сейф
Цитата:
Сообщение от Sitealert Посмотреть сообщение
Другое дело, что эта проверка мало где используется "из коробки".
Да речь на самом деле лишь о степени паранойи и ее реализации.
Если уж совсем параноить, то вход на сайт должен быть только по цифровой подписи. Восстановление которой в случае утери происходит у нотариуса при личном присутствии и со справкой о дееспособности в зубах.
Поэтому когда кто-то утверждает что автосгенеренный пароль зло, но при этом видит в присылании ссылки ответ на все вопросы безопасности - это напрягает даже больше, чем когда пароли хранятся в открытом виде. Потому что дымовая завеса от этой псевдобезопасности маскирует реальные проблемы.
__________________
Разработка проектов связанных с криптовалютой. Разумные цены. Хорошее качество. Адекватный подход.
Ищем админа на сервер, в личку: цену установки vdsmanager на hetzner и расстановку ИП.
edogs вне форума   Ответить с цитированием
Старый 21.05.2019, 09:27   #33
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,670
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.? Удобная у Вас память.
Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)
В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Старый 21.05.2019, 12:01   #34
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,899
Репутация: 85725
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Мы ничего не забыли. Даже то, что тн "разработчики" не отличают передачу данных в get/post от передачи информации как сущности (и, соответственно, её хранении)
Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
В данном же случае, видимо, опять придётся разжевывать очевидное - речь была НЕ о проверке по IP для входа, а совсем для сверки запрашиваемого со сбрасываемым. Короткая у вас память.
На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.
edogs вне форума   Ответить с цитированием
Старый 21.05.2019, 12:05   #35
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,670
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Т.е. по сути Вам ответить нечего и Вы опять переходите на личности.
Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)
Цитата:
Сообщение от edogs Посмотреть сообщение
На этот Ваш пост мы уже отвечали показывая его несостоятельность, повторяться не будем - сходите прочитайте ответ.
Т.е. по сути вам ответить нечего...
SeVlad вне форума   Ответить с цитированием
Старый 21.05.2019, 12:11   #36
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,899
Репутация: 85725
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Если "разрабочики" не понимают сути - то причём тут ваши личности? (На которые в принципе "перейти" не возможно.)
Это какой-то несвязный бред. Теперь Вы почему-то заговорили о наших личностях, спрашиваете при чем тут они и рассуждаете о каких-то "разработчиках". Тема назывется "пароли пользователея на почту", напоминаем.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Т.е. по сути вам ответить нечего...
Мы уже ответили, на что Вам и указали.
edogs вне форума   Ответить с цитированием
Старый 21.05.2019, 12:12   #37
Sitealert
Слесарь-сайтосборщик
 
Регистрация: 30.09.2016
Адрес: Замкадье
Сообщений: 4,751
Репутация: 332592

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

edogs, а ведь так много слов было, и всё потёрли. Не нервничайте.
Вы, на самом деле, тоже не всё понимаете. Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается. Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.
Sitealert вне форума   Ответить с цитированием
Старый 21.05.2019, 12:24   #38
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,670
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
рассуждаете о каких-то "разработчиках".
Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.
А по факту вы даже ламерней тех ламеров, что кодируют пароли в base64. И это не оскорбление, а констатация фактов.

Цитата:
Сообщение от Sitealert Посмотреть сообщение
что у ссылок ограничивают время жизни, у паролей же это не делается.
Справедливости ради - и у паролей это можно делать. И делается, но реже. Реже встречается потому, что ни одна уважающий себя система никогда и никому не будет сообщать пароль открытым текстом. Просто потому, что у неё его нет.
SeVlad вне форума   Ответить с цитированием
Старый 21.05.2019, 12:52   #39
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,899
Репутация: 85725
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Нда.. вы уже и забыли что позиционируете себя как разработчики? Ну во всяком случае что-то понимающими в разработке и работе систем, хоть как-то связанных с безопасностью.
А по факту вы даже ламерней ламеров, И это не оскорбление, а констатация фактов.
Опять набор голословных утверждений с хамством и переходом на личности. Очень симптоматично.
Впрочем, нам тут в голову мысль пришла, мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами, но очень недоволен предыдущим программистом. И тут вдруг Вы, ранее общавшийся с нами адекватно, прямо таки агритесь, хамите и переходите на личности. Похоже смысла продолжать с Вами диалог нет, развлекайтесь дальше без наших ответов.

Цитата:
Сообщение от Sitealert Посмотреть сообщение
на самом деле, тоже не всё понимаете.
Отлично понимаем, просто шире смотрим на вещи.
Мы выше отметили, что собственно вход по паролю сам по себе не идеально безопасен (тот же вход по ключам/цифровой подписи лучше), поэтому речь в любом случае о компромиссе, а SeVlad вон уверен что проблема с безопасностью только когда его на почту присылают, а ссылки можно хоть веером рассылать.

Цитата:
Сообщение от Sitealert Посмотреть сообщение
Например, ваш оппонент заметил, что у ссылок ограничивают время жизни, у паролей же это не делается.
Так это им не делается Но сама возможность есть и кое-где так делается, натыкались на это не раз и сами такое реализовывали.

Цитата:
Сообщение от Sitealert Посмотреть сообщение
Потом, у ссылок проще сделать валидацию по IP, если он динамический. Ссылка - это новая сущность, отличная от пароля, и для неё можно вводить различные свойства, не затрагивая свойств пароля.
Но самоцель же не ссылка или пароль, самоцель защита входа и именно для входа надо вводить различные свойства. В конечном итоге все зависит от степени защиты которая требуется. Если у хакера есть доступ к почте, то он всегда закажет ссылку и восстановит пароль заново. Если же у хакера есть доступ к смс, то он сделает то же самое. Поэтому если заботит защита входа от этого вектора атак, то и ссылка не пригодна, если же защита от этого вектора атак не беспокоит, то и пароль будет адекватной мерой.
Мы с самого начала говорили про ключевое слово "так же". Ссылка практически так же безопасна/небезопасна как и присылка пароля, при этом генерация пароля имеет уже тот плюс, что он будет уникальный и сложный.
Наши же оппоненты зациклились на идее (никем не высказанной) что раз мол пароль посылается, то он и в базе хранится в открытом виде. А когда им указали на то, что это не обязательно так - начили агриться. Поэтому диалог и пошел в неконструктивной манере.
edogs вне форума   Ответить с цитированием
Старый 21.05.2019, 14:12   #40
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,670
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
мы с месяц назад закончили аудит среднего размера проекта на безопасность, заказчик (с сёрча) был очень доволен нами,
Нашел чем удивить... Местные "вебстудии" даже html не знают. Так что далатели "аудита" безопасности не понимающие основ тут не исключение.
SeVlad вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны