Ez a "shake-shake" oldal amúgy is olyan diszkrét..., még jó, hogy fejhallgató van rajtam, így nem esett szét a ház, csak a dobhártyám.
Jómagam is sokszor találkoztam ilyennel..., de külföldi fórumokon. Előfordult, hogy mailben leküldték nekem a jelszavamat, kiírva. Vagy olyan is, amit te írtál; hogy az oldalon magán nem lehetett csillagozottan beírni a jelszót.
Nem éppen diszkrét adatkezelés, valóban nem...

:LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////

Itt a kiküldött mailben jött így a link.

Egyébként is az összes olyan oldal mondjon le, amelyben háttérben zene megy, kivéve azt az esetet ha zenei oldalról vagy fesztiválról van szó. No de minek egy szőnyegbolt weboldala alá pl. zene, vagy ide is?

A mailben jelszó leküldés is korrekt

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Akkor elmegy a levélben jelszó, ha első belépéskor meg kell változtatni (végülis ha egy egyszerhasználatos link lenne a levélben valami kóddal, az ugyanez)
A zenélő oldalakat én is gyűlölöm (főleg, ha nehéz - vagy nem is lehet - kikapcsolni). Tulajdonképpen ezért tiltottam le az összes flasht a böngészőben.

"Egyébként is az összes olyan oldal mondjon le, amelyben háttérben zene megy"
Még jó hogy időben leszedtem a "No milk today" flash animációt az oldalamról Már csak egy rajzolós óra van a helyén , de még így is ronda az oldal , de az enyém (az órát valami japán srác csinálta, mert flashből csak annyira vagyok jó, hogy pdf-et konvertáljak swf-é )

[ Szerkesztve ]

Mi a gond ezzel a php fejlesztéssel (eltekintve attól, hogy illegális másokat regisztrálni és spammelni)?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mondjuk az, hogy címben küldöd a jelszót , kódolatlanu(böngésző frankón eltárolja pl... ). Az már egy másik dolog, hogy belépés után nem is kéri, hogy változtasd le.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Szerintem a zenélős szőnyegoldalra sikerült drága jó anyámnak is rátalálnia, és kb. 20 percig "élvezhettem" a muzsikát, amíg le nem halkította végre a hangfalat. ("Szerintem nem olyan rossz...)"

Mi a gond a kódolatlanul küldött jelszóval?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Már írta: az a gond, hogy bárki, aki meg tudja nézni a böngészési előzményeidet, látja a jelszavadat kódolatlanul. Azért dühítő, mert ugyanennyi erőfeszítéssel biztonságosan is meg lehet oldani ezt a problémát. Az a fejlesztő, aki ilyen triviális biztonsági rést nem vesz érszre, az valószínűleg a sokkal komolyabb veszélyeken és hibalehetőségeken is átsiklik.

(#2) tildy - A mailben jelszó leküldés korrekt. Paranoiások számára ez is biztonsági rés, de amúgy az átlag felhasználónak hasznos szolgáltatás.

Ok, tehát ha sokan használják az én pc-met az én accountommal, akkor ebből lehet baj. Ez ugyan nem életszerű, de ebben igazad van.

Mennyivel jobb a helyzet, ha a kódolt jelszavamat látja, nem a kódolatlant?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ok, tehát ha sokan használják az én pc-met az én accountommal, akkor ebből lehet baj. Ez ugyan nem életszerű, de ebben igazad van.
Például internetkávézóban jön a következő arc, kinyitja a history ablakot és ott virul a jelszavad. Ne feltétlenül abból indulj ki, hogy te mennyire biztonságosan és magas szinten használod a számítógépedet.
A probléma itt amúgy is elvi jellegű. Nyilván egy ilyen nyereményjátéknál nehéz komoly károkat okozni azzal, ha valaki megtudja a jelszavad, de képzeld el, ha a webes levelezőrendszer, egy társkereső oldal, vagy mondjuk egy bank küldené ilyen formában a jelszavakat..

Mennyivel jobb a helyzet, ha a kódolt jelszavamat látja, nem a kódolatlant?
Például az email-ben kiküldött regisztrációt aktiváló linknél a linkbe bekerül a felhasználó azonosítója és egy random kód, amit regisztrációkor generálsz. Ez a kettő egyértelműen azonosítja a felhasználót, viszont ha nem férsz hozzá a weboldal adatbázisához, akkor nem érsz velük semmit.
Persze ki lehet találni bonyolultabb eljárást is, amit leírtam, az egy egyszerű, könnyen megvalósítható megoldás.

[ Szerkesztve ]

Webcímben nem illik, sőt aggályos is jelszót küldeni. Szerintem.

Cuckának igaza van. ezek elvi dolgok.

Mailben jelszót, vagy jelszót tartalmazó webcímet nem küldünk. Ez szerintem alap.
Persze lehetőséget kell biztosítani jelszóváltoztatásra, de létező jelszót kiküldeni tilos ! (legalábbis az kéne, hogy legyen...)

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Nem csak aggályos, bármilyen "értelmes" ügyfél ilyenért nem fizet.

Ráadásul egy jól megírt oldalnál a jelszót nem is tudják az adminok, így átküldeni sem lehet.

Nem ajánlják . Több helyen is azt a változatot ajánlják, amit te is írsz. Küldenek egy oldal címet, ott írj be pár dolgot, és változtasd le a jelszavad.

stevve : ezt mondom. Remélem azért csak az aktiváló mailben jött így ajelszó, és az adatbázisban már kódolva tárolják. Ha nem, az érdekes... Ugye emlékszünk a veszprémi egyetemi esetre

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

A felhasználó postaládáját elvileg csak a felhasználó láthatja, ezért szerintem simán el lehet küldeni mail-ben a jelszót, ezáltal egy füst alatt ellenőrizted azt is, hogy valós email címről regisztrált-e. Nyilván egy banki oldalnál nem küldünk email-ben jelszót, de normális biztonsági szint mellett szerintem megengedhető.

(#14) stevve
Azért, mert az adatbázisban kódolva tárolod, még regisztrációnál simán elküldheted a jelszót levélben, nincs semmilyen technikai akadálya.

Technikai akadálya nincs ugyan bizonyos eseteket kivéve, de elvben nem kellene, hogy ismerjék az üzemeltetők a felhasználók adatait.

Pontosan azt írtam, hogy nem ismerik, mert az adatbázisban kódolva tároljuk.
Amikor regisztrálsz, egyrészt kimegy a levél a jelszavaddal, másrészt bekerül az adatbázisba lekódolva. Semmilyen üzemeltető nem lát semmit.

Tehát ha jól értem, ha lenyúltam a kódolt jelszót vagy random akármit tartalmazó url-t, akkor egy másik böngészőből be tudok jelentkezni legalább egyszer és át tudom írni a jelszót meg az email címet magamnak.

Vagyis ha el akarom lopni a regisztrációját, akkor a böngésző history alapján ugyanúgy le tudom nyúlni, akár kódolt, akár nem.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tehát ha jól értem, ha lenyúltam a kódolt jelszót vagy random akármit tartalmazó url-t, akkor egy másik böngészőből be tudok jelentkezni legalább egyszer és át tudom írni a jelszót meg az email címet magamnak.
A link csak egyszer él, tehát jó eséllyel hiába nyúlod le (másodszori látogatásnál már nem működik). Ha a link csak a felhasználót aktiválja, akkor meg semmit nem érsz vele. Azért küldünk felhasználónév+jelszó helyett kódot és user_id-t, mert azzal nem lehet belépni az oldalra. Értem ám, hogy most elhatároztad, valamibe nagyon bele fogsz kötni, de hidd el, ezek a rendszerek elég jól ki vannak találva .

[ Szerkesztve ]

A random akármit tartalmazó url jó esetben csak egyszer használatos. Még az is lehet, hogy csak aktiválja a felhasználót. Ezekben az esetekben az ellopása nem okoz gondot (ugyanúgy, ahogy az ideiglenes jelszó sem)

Oké, tehát jön egy usernév + jelszó vagy valami kódolt, a tulaj bemegy, átírja,
mert a link meg a kezdeti jelszó csak egyszer érhető el.
Igaz?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nagyjából. Az a baj, hogy többfajta megoldás van, nem tudom, melyikre gondolsz.
- linket küldök, ami aktiválja a júzert
- linket küldök, amin beírhatja a jelszavát
- kezdeti jelszót küldök mailben, amit át kell írjon (vagy átírhat) első bejelentkezésnél

A lényeg, hogy a böngésző history-jában nem jelenik meg olyan adat, amivel közvetlenül vagy közvetve be lehet lépni a felhasználó nevében a rendszerbe.

[ Szerkesztve ]

fussunk már neki mégegyszer.
ha olyan url-t küldesz neki, amivel 1x lehet bejelentkezni, akkor milyen adat jelenik meg a böngésző historyban, ami túl nagy biztonsági probléma?

1. linket küldesz, amin aktiválja az usert. ha aktiválta, akkor ez a link teljesen használhatatlan a későbbiekben. Ha nem aktiválta, akkor meg nincs a böngésző historyban.
2. linket küldtél, amin beírhatja a jelszavát, ekkor a linkben nincs jelszó.
3. kezdeti jelszót küldtél, amit át kell írjon első bejelentkezéskor és nem engeded tovább, amíg ezt meg nem tette. Akkor a linkben megint nem marad használható jelszó.

Szóval lássuk már azt a nagy biztonsági problémát végre, mert kezd érdekelni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

bocs, a konkrét kérdésedre elfelejtettem válaszolni:
arra a megoldásra gondolok, amiről a poszt született.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem a baj itt nem azzal van, h vki be tud lépni az adott user nevén a dr. Oetker játékba és ott garázdálkodik. A jelszó urlben való megjelenítésével az a gond, hogy az emberek általában nem mindenhova másik jelszót használnak, hanem egyet, amit mindenhova beírnak, mert nem tudnak megjegyezni 30 login / jelszó párost, meg nem is akarnak. Ergo, ha az egyik oldalnál látja ezt valaki, akkor mindenhova be tud lépni, ahol ezt használja a felhasználó (mondjuk rendel a netpincéren minden félórában hozzá egy pizzát).

Szerintem...

Ne csináld már, hogy nem érted, hogy miért baj, hogy egy url-ben (ami elmentődik egy akár nyilvános gép historyjába vagy a közbülső proxyk logjába) élő jelszó szerepel.
Bár nekem úgy tűnik, hogy konkrétan szeretnél valamire rávilágítani, de akkor egyszerűbb lenne, ha simán leírnád azt

1. nem szokás ma már proxyzni
2. nem sikerült eddig annak bizonyítása, hogy élő jelszó került a logba.

Mielőtt a többit is kifejteném, szeretném, ha meglenne ez a bizonyítás vagy elfogadnánk, hogy a kérdést nem lehet bizonyítani.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez az első komoly ellenérv, de ehhez tudnunk kellene, hogy a posztban saját maga által beírt jelszó volt vagy gép által generált. Vagyishogy Tildy maga akart oda regisztrálni és ehhez ő választotta a jelszót, vagy feliratták spamszerűen valahova és kapott egy generált jelszót.

De persze tegyük fel, hogy Tildy nem használ egy jelszót több helyen, hiszen ő profi php fejlesztő.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt tildy könnyen bizonyíthatja:

- ha ő adta meg a kiküldött jelszót, akkor valszeg ez az élő jelszó lesz, ha azt változtatják meg az teljesen logikátlan lenne
- ha nem ő adta meg csak generált lehet... vagyis nem, vagy nem feltétlen élő

[ Szerkesztve ]

viszont az idegen gépen keylogger is lehet, meg html formot értelmező vírus is lehet, tehát a jelszót nem gyengíti, hogy egy url-ben is előfordulhatott.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem elbeszélünk egymás mellett. Ha egy generált jelszót küldesz linkben, amit azonnal meg kell változtatni, akkor az ekvivalens azzal, hogy egy generált kódot küldesz, ez triviális. (Mivel a kezdeti jelszót, amit köteles megváltoztatni, a rendszered generálja)

Ha a kezdeti jelszót nem vagy köteles megváltoztatni az első belépésnél, akkor azt nem szabad kiküldeni linkben, mert ez biztonsági rés. Erről volt szó a cikkben és erről beszéltünk a topikban is.

Jelen esetben a felh. név és jelszó, ami a linkben van , később is hozzáférést ad az oldalhoz.
Aki hozzáfér az urlhez , hozzá fog a nevemben férni az oldalhoz is. Ugyanis aktiválás után nem kéri, hogy változtassak a jelszón.
Tehát a 3-as pont nem állja meg a helyét:

"3. kezdeti jelszót küldtél, amit át kell írjon első bejelentkezéskor és nem engeded tovább, amíg ezt meg nem tette. Akkor a linkben megint nem marad használható jelszó."

Természetesen a jelszónál az általam beírt jelszó jött a mailben.

Azóta Webisztánra is felkerült az oldal, ráadásul ők még jópár hibát észrevettek:

Mindenesetre 3 orbitális hibára szeretném felhívni a figyelmet.

1. Törekedjünk arra, hogy regformok ne flashben legyenek. Miért? Hát azért, mert a netező nem ehhez van szokva, idegen ez a nehézkesen betöltődő, bizarr klikkelés/akció átlaggal működő form. Űrlapkitöltésre tehát, amennyiben lehetséges, használjunk html oldalt.

2. SOHA ne készítsünk olyan weboldalt, szájtot, mely automatikusan újraméretezi a böngészőablakot. Ne feledjük, egyre többen használják a füleket a böngészőkben, és egy ablakátméretezés komoly bosszúságot okozhat a többi fülön futó oldalaknál. (Kevesebbért is blokkoltak már szájtokat a weben.)

3. SOHA ne adjuk ki a felhasználó jelszavát. Mint már korábban is jeleztük, a jelszavak maszkolása azért fontos, hogy a felhasználóban azt az érzetet erősítse, hogy maga a jelszó illetéktelen számára nem látható, tehát rejtve marad. Ehhez képest a Dr. Oetker-es játéknál a regisztrációkor kiküldött aktiváló emailben azt láthatjuk, hogy a jelszavunkat ("valami") szépen, automatikusan beleírták az URL-ünkbe:

[ Módosította: Atlantis ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Nem, nem erről volt szó a cikkben, a cikkben nem szerepeltek olyan kitételek, hogy köteles vagy-e megváltoztatni, stb.

Ne tereljünk, ez moving target vita lenne.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezen történéseket látva aktiválás után nem változtattad meg a jelszavad?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Természetesen megváltoztattam, de azért nem raktam ki ide az eredeti jelszót, mert azt használom valahol máshol is, semmi szükség rá , hogy az egész ph tudja.

És természetesen én regisztráltam az oldalon .

empeti: a profitól még messze vagyok Rengeteget kell fejlődnöm, de ez nagyon szemet szúrt nekem. Alapesetben én generált aktiváló kódot használok, sokszor akár cookie-k esetében is.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

"Köszönjük tildy, hogy regisztráltál a http://www.shake-shake.hu weblapon!

Regisztrációd megerôsítéséhez, kattints az alábbi kódra:"

Ebből úgy tűnik ő maga regisztrált, nem spam...

Egyébiránt itt szerintem nem feltétlen tildyről van szó, aki profi php fejlesztő, hanem az átlag felhasználóra, aki regisztrál a dr. Oetkerre... mondjuk egy háziasszony.

Itt egyébként nem csak akkor aggályos a dolog szerintem, ha nyilvános gépet használsz, hanem akármikor amikor valaki láthatja az előzményeidet

(pl: munkahelyen odaül vki a gépedhez, vagy kollégiumban, vagy akár otthon a saját gyereked, aki rendel a kóddal magának egy óriás plüssnyuszit, ha mondjuk karácsonyra rendeltél neki vmit a játékboltból)

ott a pont
md5-ös kód, ami másra nem jó... szerintem is ez a megoldás

Ebben csak az a megmosolyogtató, hogy kihangsúlyoztad a posztban, hogy te csillagoztad ki a jelszót, nem úgy jött...

Felmerült itt valakiben, hogyha csillagos a jelszó, akkor nyilván a regisztrációban is sok csillagból állt?

Az én szememben az, hogy flashben van a beviteli űrlap, nem súlyos biztonsági probléma, ahogy az átméretezés tilalma sem biztonsági baj. Hogy az aktuális webtervezési trendeknek nem felel meg, azt elhiszem neked.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt anélkül is ki lehet deríteni
(soha nem regisztrálnék magamtól az oldalra: eleve tiszta flash, elkezd idegesítően zenélni, a regisztrációs lapon alig olvashatóan kis betűk vannak, ékezeteket rosszul kezeli és a legjobb, hogy max! 6 karakteres jelszót lehet megadni )
Szóval vissza az oldalra. Az általam megadott jelszót küldi el emailben, és nem kéri, hogy változtassam meg utánna. Igaz, hogy az aktiválás nem léptet be, de a jelszó használható.
Proxyról pont most volt egy szavazás a hupon, és 20% használ még proxyt (olyan válasz nem volt, hogy nem használ, csak hogy nem tudja a találati arányt, úgyhogy ez még magasabb is lehet)

Ez a levél egyáltalán nem bizonyítja, hogy saját akaratából regisztrált, legalábbis én kaptam már több ilyet úgy, hogy a környékükre se mentem.

A többit hagyjuk, hogy ki mit csinálhat az én gépemmel, mert az nem általános jelenség

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hülyebiztosnak kell lenni Még valaki kipróbálja, azt azt mondja, dehiszen ez nem is működik.
Itt egy link, milyen email jön.
(Forrás még mindig webisztán.)

Viccet félretéve : mint írtam, jómagam regisztráltam az oldalra , a megszokott nevemmel, és egyik, megszokott jelszavammal (ezért a csillagozás!!! )- > utólag láttam csak , milyen balga voltam. Az email megérkezte után.

Böngésző előzményben meg benne marad. Tudom aki ekkora hülye , az így járt. Node nem lehet mindenki webfejlesztő , hogy vágja, hogy ez így akkor sem korrekt. Márpedig nem korrekt. Így ahogy van, így nem.

Jelszavakra visszatérve: Van több oldal amit használok, van pár megszokott jelszavam, lehet előfordul egy-kettő ami azonos , de azért próbálom váltogatni.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Ok, akkor pontosítok.
Az, hogy proxy logban marad a jelszavad, akkor érdekes, ha a proxy üzemeltetése nem tekinthető barátinak vagy legalább semlegesnek, mint pl. a szolgáltatói proxyk. Viszont ezeket a sávszélességeket már nem lehet értelmesen proxyzni, ezért a szolgáltatói oldalon szerintem kiment a divatból.

A munkahelyed proxyja vagy a saját gépeden adblocker jelleggel futtatott proxy meg nem ilyen.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ahha...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát, a proxykról eltér a véleményünk. Baráti szerintem legfeljebb a saját lehet, de az sem szerencsés, hiszen abban az esetben egy plain text fájlban tárolódik jelszó a logfájlban. Amit meg nem én üzemeltetek, az meg legfeljebb semleges lehet, de inkább ellenséges (nem vagyok annyira paranoid, mint ahogy hangzik)

Proxyról miben tér el a véleményünk? A teljesítményben vagy a biztonságban?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A nem saját proxyk megbízhatóságában (bár így átolvasva amit írtál már nem vagyok benne biztos, de úgy tűnt, hogy a céges/szolgáltatói oldalban te megbízol)

Akkor abban egyetértünk, hogy nem szerencsés, hogyha egy ilyen rendszerben elmentődik egy jelszó. Céges környezetben meg nem csak cache-elési céllal lehet proxy, hanem mondjuk tartalomszűrésivel is, és ott is elmenthetik az urlt.

Nem szerencsés (mint később kiderült), hogy máshol is használt jelszó mentődik el.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

40-50 weboldalra nem fogok 40-50 különböző jelszót használni. Tuti lesznek átfedések.
Legalább 3-4 helyen egyforma lesz a jelszó. És még mindig tartom, az sem szerencsés, ha ez elmentődik ilyen módon. Oké, itt nincsenek fontos adatok, báááár a személyes adataim, lakcím stb .... khm...

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Szerintem a csak egy helyen használt jelszó sem kellene elmenteni.
Tildy: Mostanában kezdek rászokni arra, hogy generáltatok valami jelszót, és elmentem jelszókezelőbe, és onnan másolom át, amikor be akarok lépni valahova (hátránya, hogy ha nincs ott az embernél az alkalmazás, akkor esélytelen a bejutás)

Nekem a jelszókezelő az agyam
10-11 darabig még jó vagyok

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

10-11 jó jelszó? (legalább 8 karakter, szám/kis/nagybetű - és nem 1234Pass)? Én kb 5-ig vagyok jó, de azt is csak akkor, ha rendszeresen használom őket.

Szerencsetlen weboldal vszeg siman letarolja a jelszavakat

while (!sleep) sheep++;

Az a baj, hogy simán elküldtél valakit munkanélkülire, holott a posztból egyáltalán nem derült ki, hogy hibázott, és a magyarázatok közben is csak keservesen sikerült valami kis igazságot belevinni. A többiek moving targetes mellébeszélését meg hagyjuk...

Ez a baj a posztoddal.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem tudom, eddig akinek mutattam a kapott linket, és kicsit konyít a webfejlesztéshez, rögtön vágta mi a gond vele. Sajnálom, hogy nem jött le neked , szerencsére a többiek vágták miről van szó.De átszerkesztem a posztot, más ne érthesse félre.

Én nem küldtem el senkit munkanélkülire, bárki hibázhat, én is.
De ez olyan ordas hiba, ami egyszerűen szégyen.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Kis- , nagybetű, valamihez kapcsolódó szavak, szóösszetételek.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Ööö, másik oldalról csak keservesen sikerült veled megértetni, hogy miért is nem jó ötlet, ha jelszó kerül egy urlbe A moving targetes mellébeszélést meg nem tudom hova tenni.

Nemcsak hogy URL-be nem kerulhet. Eleve letarolni a jelszosztringet, na az mar gaz -- normalis esetben csak a hashet taroljak le, abbol nem lehet kitalalni a jelszot magat.

while (!sleep) sheep++;

"Azt hiszem a PHP fejlesztőjük jobban tenné, ha most önként felállna, és soha többé nem próbálkozna ilyen munkával."

Itt küldted munkanélkülire, most is ott van a posztban.

Nekem is lejött, hogy számodra mi hibádzik az url-lel, más kérdés, hogy a biztonsági besorolása a problémának nem magától értetődő, mint ahogy a többi hozzászóló sem tudta kapásból bizonyítani, hogy ez valóban gond. Majd nagy nehezen összeszedtek egy speciális esetet, amikor ebből baj lehet, viszont még mindig nincs válasz arra a kérdésre, hogy abban a speciális esetben pont ez-e a legnagyobb baj, vagy ez már csak az utolsó csepp a pohárban (hint: ez utóbbi).

Ha mindig minden webfejlesztő csípőböl tüzel biztonság témakörben, akkor ott valóban nagy baj van. Persze, lehet hívni ordas hibának, ezzel nem is biztos, hogy akarok vitatkozni, de az általános veszélyessége, az már kérdéses.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A moving target a #23-ban van, amikor olyan elképzelt helyzetekről kezd el vitázni, ami nehogy nem veszélyes, nem is fordult itt elő. Ettől moving target, hogy a vita célja mozog, másik témát akar a vita céljává tenni.

Csak nehezen sikerült kiderítenetek, hogy valójában mikor is nem jó, ha jelszó kerül egy url-be.

#61: ha megvan a hash, akkor nem kell a jelszósztring. Nem lehetetlen olyan sztringet találni, aminek ugyanaz a hash-e.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

SZVSZ alap, és TRIVIÁLIS , miért nem rakunk jelszót URL-be.
Azért , mert nem biztonságos. Miért nem biztonságos? Mert bárki hozzáférhet , és könnyedén tudja használni azt .

A programozó elküldése: emlékeim szerint volt közöd műszaki felsőoktatáshoz , úgyhogy nem szükséges bemutatnom mit jelent az, hogy ELVI HIBA.

Google analytics code ott van az oldal alján, tehát mérik az oldal látogatottságát , így azt is, melyik link volt látogatva, tehát anélkül is tudhatja az admin a user jelszavát, hogy az adatbázisba belenézett volna, függetlenül attól , hogy kódolva van vagy sem.. Ezt még mondjuk tesztelnem kell, hamarosan jelentkezem

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Tényleg nem értelek. Cucka végig a te kérdésidre válaszolt.
nem is fordult itt elő: "linket küldök, ami aktiválja a júzert"
nem veszélyes: szerinted elfogadható olyan urlt küldeni, ami jelszót tartalmaz? Tényleg lehetnek olyan esetek, amikor nem jelent kockázatot, de attól még nem kellene rászokni. (a biztonsági öv sem mindig hasznos, mégis mindig bekötöd, nem?). Ráadásul ebben az esetben be is bizonyosodott, hogy az url újrafelhasználható.
Szerintem nem találtuk ki nehezen, hogy miért nem jó ez. Gondolom, azt tudod, hogy az explorer pár éve már alapból nem fogadja el az url elejére írt felhasználónév/jelszó párost ( http://user:pass@example.com ). Az okok nyilván hasonlóak.

Ha a jelszót bekérik regisztrációkor, akkor azt általában nem kell utána azonnal megváltoztasd, mivel nem lenne semmi értelme. Ha a programozó van annyira barom, hogy elköveti a hibát, a legelső tesztelésnél ki fog bukni, hogy ez így nem jó. A cikkben szereplő konkrét weboldalnál is így működik, mert így logikus. (Függetlenül attól, hogy írja-e a cikkben vagy sem). Gondoltam ezt nem kell részletezni, a józan ész elég hozzá, hogy kizárd ezt a lehetőséget.

(#63) bambano
A moving target a #23-ban van, amikor olyan elképzelt helyzetekről kezd el vitázni, ami nehogy nem veszélyes, nem is fordult itt elő.
Ott a lehetséges jó megoldásokat soroltam a cikkben vázolt problémára. Látom, bejön neked ez a "moving target" dolog, de itt most csupán arról van szó, hogy félreértettél.

Mit nem értesz? Hacsak azt nem, hogy végig számítástechnikáról vitatkozunk, holott a probléma alapvetően emberi. Hogy valaki elküldi a kollégáját a francba munkanélkülinek, nem teljesen bizonyított elképzelés alapján.

Még mielőtt beszólnátok, igen, ebben a hsz-ben van egy kis moving target. back moving, vissza az eretetihez.

Eddig arról vitáztunk, hogy bizonyított-e az elképzelése vagy sem (én azt gondolom, hogy nem, de kis időre függesszük fel a vitának ezt a részét még akkor is, ha ezen az úton egyszerűbb lett volna ugyanerre a végkövetkeztetésre jutni). Most vitázzunk arról, hogyha igaza van, akkor milyen színben tűnik fel a dolog.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Keménynek tűnhetnek a szavaim, de az, hogy valakinek valami "látszólag" nem megy, és ezt szóvá teszem, nem jelenti azt, hogy elküldeném munkanélkülinek.
Amúgy ha van benne elég kitartás , akkor nem fogja felvenni, sőt megy előre.

Tudod hányszor kaptam meg exemtől , hogy hülye vagyok a programozáshoz? Mégis volt bennem akarat, és elszántság, és csinálom,szeretem, nem vagyok munkanélküli.

Bár abban igazad van, hogy valamely hibámra ha valaki vadidegen így reagálna, valószínűleg nekem sem esne jól.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

A kiskapu azért, mert senki nem használja ki még kiskapu marad. Bár ez inkább székelykapu. Remélem érted mire gondolok.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Neki megírtad, hogy mit gondolsz?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem.
Lehet kövezni.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Azért ez durva. Egy akkora cég, mint a Dr. Oetker, simán fizethetne egy olyan embert, aki meg tudja csinálni ezt rendesen. Dehát mindenhol megy a spórolás... Válság van, és rá lehet fogni erre (is).

[ Szerkesztve ]