Ez a "shake-shake" oldal amúgy is olyan diszkrét..., még jó, hogy fejhallgató van rajtam, így nem esett szét a ház, csak a dobhártyám.
Jómagam is sokszor találkoztam ilyennel..., de külföldi fórumokon. Előfordult, hogy mailben leküldték nekem a jelszavamat, kiírva. Vagy olyan is, amit te írtál; hogy az oldalon magán nem lehetett csillagozottan beírni a jelszót.
Nem éppen diszkrét adatkezelés, valóban nem...

:LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////

Itt a kiküldött mailben jött így a link.

Egyébként is az összes olyan oldal mondjon le, amelyben háttérben zene megy, kivéve azt az esetet ha zenei oldalról vagy fesztiválról van szó. No de minek egy szőnyegbolt weboldala alá pl. zene, vagy ide is?

A mailben jelszó leküldés is korrekt

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Akkor elmegy a levélben jelszó, ha első belépéskor meg kell változtatni (végülis ha egy egyszerhasználatos link lenne a levélben valami kóddal, az ugyanez)
A zenélő oldalakat én is gyűlölöm (főleg, ha nehéz - vagy nem is lehet - kikapcsolni). Tulajdonképpen ezért tiltottam le az összes flasht a böngészőben.

"Egyébként is az összes olyan oldal mondjon le, amelyben háttérben zene megy"
Még jó hogy időben leszedtem a "No milk today" flash animációt az oldalamról Már csak egy rajzolós óra van a helyén , de még így is ronda az oldal , de az enyém (az órát valami japán srác csinálta, mert flashből csak annyira vagyok jó, hogy pdf-et konvertáljak swf-é )

[ Szerkesztve ]

Mi a gond ezzel a php fejlesztéssel (eltekintve attól, hogy illegális másokat regisztrálni és spammelni)?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mondjuk az, hogy címben küldöd a jelszót , kódolatlanu(böngésző frankón eltárolja pl... ). Az már egy másik dolog, hogy belépés után nem is kéri, hogy változtasd le.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Szerintem a zenélős szőnyegoldalra sikerült drága jó anyámnak is rátalálnia, és kb. 20 percig "élvezhettem" a muzsikát, amíg le nem halkította végre a hangfalat. ("Szerintem nem olyan rossz...)"

Mi a gond a kódolatlanul küldött jelszóval?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Már írta: az a gond, hogy bárki, aki meg tudja nézni a böngészési előzményeidet, látja a jelszavadat kódolatlanul. Azért dühítő, mert ugyanennyi erőfeszítéssel biztonságosan is meg lehet oldani ezt a problémát. Az a fejlesztő, aki ilyen triviális biztonsági rést nem vesz érszre, az valószínűleg a sokkal komolyabb veszélyeken és hibalehetőségeken is átsiklik.

(#2) tildy - A mailben jelszó leküldés korrekt. Paranoiások számára ez is biztonsági rés, de amúgy az átlag felhasználónak hasznos szolgáltatás.

Ok, tehát ha sokan használják az én pc-met az én accountommal, akkor ebből lehet baj. Ez ugyan nem életszerű, de ebben igazad van.

Mennyivel jobb a helyzet, ha a kódolt jelszavamat látja, nem a kódolatlant?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ok, tehát ha sokan használják az én pc-met az én accountommal, akkor ebből lehet baj. Ez ugyan nem életszerű, de ebben igazad van.
Például internetkávézóban jön a következő arc, kinyitja a history ablakot és ott virul a jelszavad. Ne feltétlenül abból indulj ki, hogy te mennyire biztonságosan és magas szinten használod a számítógépedet.
A probléma itt amúgy is elvi jellegű. Nyilván egy ilyen nyereményjátéknál nehéz komoly károkat okozni azzal, ha valaki megtudja a jelszavad, de képzeld el, ha a webes levelezőrendszer, egy társkereső oldal, vagy mondjuk egy bank küldené ilyen formában a jelszavakat..

Mennyivel jobb a helyzet, ha a kódolt jelszavamat látja, nem a kódolatlant?
Például az email-ben kiküldött regisztrációt aktiváló linknél a linkbe bekerül a felhasználó azonosítója és egy random kód, amit regisztrációkor generálsz. Ez a kettő egyértelműen azonosítja a felhasználót, viszont ha nem férsz hozzá a weboldal adatbázisához, akkor nem érsz velük semmit.
Persze ki lehet találni bonyolultabb eljárást is, amit leírtam, az egy egyszerű, könnyen megvalósítható megoldás.

[ Szerkesztve ]

Webcímben nem illik, sőt aggályos is jelszót küldeni. Szerintem.

Cuckának igaza van. ezek elvi dolgok.

Mailben jelszót, vagy jelszót tartalmazó webcímet nem küldünk. Ez szerintem alap.
Persze lehetőséget kell biztosítani jelszóváltoztatásra, de létező jelszót kiküldeni tilos ! (legalábbis az kéne, hogy legyen...)

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Nem csak aggályos, bármilyen "értelmes" ügyfél ilyenért nem fizet.

Ráadásul egy jól megírt oldalnál a jelszót nem is tudják az adminok, így átküldeni sem lehet.

Nem ajánlják . Több helyen is azt a változatot ajánlják, amit te is írsz. Küldenek egy oldal címet, ott írj be pár dolgot, és változtasd le a jelszavad.

stevve : ezt mondom. Remélem azért csak az aktiváló mailben jött így ajelszó, és az adatbázisban már kódolva tárolják. Ha nem, az érdekes... Ugye emlékszünk a veszprémi egyetemi esetre

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

A felhasználó postaládáját elvileg csak a felhasználó láthatja, ezért szerintem simán el lehet küldeni mail-ben a jelszót, ezáltal egy füst alatt ellenőrizted azt is, hogy valós email címről regisztrált-e. Nyilván egy banki oldalnál nem küldünk email-ben jelszót, de normális biztonsági szint mellett szerintem megengedhető.

(#14) stevve
Azért, mert az adatbázisban kódolva tárolod, még regisztrációnál simán elküldheted a jelszót levélben, nincs semmilyen technikai akadálya.

Technikai akadálya nincs ugyan bizonyos eseteket kivéve, de elvben nem kellene, hogy ismerjék az üzemeltetők a felhasználók adatait.

Pontosan azt írtam, hogy nem ismerik, mert az adatbázisban kódolva tároljuk.
Amikor regisztrálsz, egyrészt kimegy a levél a jelszavaddal, másrészt bekerül az adatbázisba lekódolva. Semmilyen üzemeltető nem lát semmit.

Tehát ha jól értem, ha lenyúltam a kódolt jelszót vagy random akármit tartalmazó url-t, akkor egy másik böngészőből be tudok jelentkezni legalább egyszer és át tudom írni a jelszót meg az email címet magamnak.

Vagyis ha el akarom lopni a regisztrációját, akkor a böngésző history alapján ugyanúgy le tudom nyúlni, akár kódolt, akár nem.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tehát ha jól értem, ha lenyúltam a kódolt jelszót vagy random akármit tartalmazó url-t, akkor egy másik böngészőből be tudok jelentkezni legalább egyszer és át tudom írni a jelszót meg az email címet magamnak.
A link csak egyszer él, tehát jó eséllyel hiába nyúlod le (másodszori látogatásnál már nem működik). Ha a link csak a felhasználót aktiválja, akkor meg semmit nem érsz vele. Azért küldünk felhasználónév+jelszó helyett kódot és user_id-t, mert azzal nem lehet belépni az oldalra. Értem ám, hogy most elhatároztad, valamibe nagyon bele fogsz kötni, de hidd el, ezek a rendszerek elég jól ki vannak találva .

[ Szerkesztve ]

A random akármit tartalmazó url jó esetben csak egyszer használatos. Még az is lehet, hogy csak aktiválja a felhasználót. Ezekben az esetekben az ellopása nem okoz gondot (ugyanúgy, ahogy az ideiglenes jelszó sem)

Oké, tehát jön egy usernév + jelszó vagy valami kódolt, a tulaj bemegy, átírja,
mert a link meg a kezdeti jelszó csak egyszer érhető el.
Igaz?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nagyjából. Az a baj, hogy többfajta megoldás van, nem tudom, melyikre gondolsz.
- linket küldök, ami aktiválja a júzert
- linket küldök, amin beírhatja a jelszavát
- kezdeti jelszót küldök mailben, amit át kell írjon (vagy átírhat) első bejelentkezésnél

A lényeg, hogy a böngésző history-jában nem jelenik meg olyan adat, amivel közvetlenül vagy közvetve be lehet lépni a felhasználó nevében a rendszerbe.

[ Szerkesztve ]

fussunk már neki mégegyszer.
ha olyan url-t küldesz neki, amivel 1x lehet bejelentkezni, akkor milyen adat jelenik meg a böngésző historyban, ami túl nagy biztonsági probléma?

1. linket küldesz, amin aktiválja az usert. ha aktiválta, akkor ez a link teljesen használhatatlan a későbbiekben. Ha nem aktiválta, akkor meg nincs a böngésző historyban.
2. linket küldtél, amin beírhatja a jelszavát, ekkor a linkben nincs jelszó.
3. kezdeti jelszót küldtél, amit át kell írjon első bejelentkezéskor és nem engeded tovább, amíg ezt meg nem tette. Akkor a linkben megint nem marad használható jelszó.

Szóval lássuk már azt a nagy biztonsági problémát végre, mert kezd érdekelni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

bocs, a konkrét kérdésedre elfelejtettem válaszolni:
arra a megoldásra gondolok, amiről a poszt született.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem a baj itt nem azzal van, h vki be tud lépni az adott user nevén a dr. Oetker játékba és ott garázdálkodik. A jelszó urlben való megjelenítésével az a gond, hogy az emberek általában nem mindenhova másik jelszót használnak, hanem egyet, amit mindenhova beírnak, mert nem tudnak megjegyezni 30 login / jelszó párost, meg nem is akarnak. Ergo, ha az egyik oldalnál látja ezt valaki, akkor mindenhova be tud lépni, ahol ezt használja a felhasználó (mondjuk rendel a netpincéren minden félórában hozzá egy pizzát).

Szerintem...

Ne csináld már, hogy nem érted, hogy miért baj, hogy egy url-ben (ami elmentődik egy akár nyilvános gép historyjába vagy a közbülső proxyk logjába) élő jelszó szerepel.
Bár nekem úgy tűnik, hogy konkrétan szeretnél valamire rávilágítani, de akkor egyszerűbb lenne, ha simán leírnád azt

1. nem szokás ma már proxyzni
2. nem sikerült eddig annak bizonyítása, hogy élő jelszó került a logba.

Mielőtt a többit is kifejteném, szeretném, ha meglenne ez a bizonyítás vagy elfogadnánk, hogy a kérdést nem lehet bizonyítani.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez az első komoly ellenérv, de ehhez tudnunk kellene, hogy a posztban saját maga által beírt jelszó volt vagy gép által generált. Vagyishogy Tildy maga akart oda regisztrálni és ehhez ő választotta a jelszót, vagy feliratták spamszerűen valahova és kapott egy generált jelszót.

De persze tegyük fel, hogy Tildy nem használ egy jelszót több helyen, hiszen ő profi php fejlesztő.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt tildy könnyen bizonyíthatja:

- ha ő adta meg a kiküldött jelszót, akkor valszeg ez az élő jelszó lesz, ha azt változtatják meg az teljesen logikátlan lenne
- ha nem ő adta meg csak generált lehet... vagyis nem, vagy nem feltétlen élő

[ Szerkesztve ]

viszont az idegen gépen keylogger is lehet, meg html formot értelmező vírus is lehet, tehát a jelszót nem gyengíti, hogy egy url-ben is előfordulhatott.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerintem elbeszélünk egymás mellett. Ha egy generált jelszót küldesz linkben, amit azonnal meg kell változtatni, akkor az ekvivalens azzal, hogy egy generált kódot küldesz, ez triviális. (Mivel a kezdeti jelszót, amit köteles megváltoztatni, a rendszered generálja)

Ha a kezdeti jelszót nem vagy köteles megváltoztatni az első belépésnél, akkor azt nem szabad kiküldeni linkben, mert ez biztonsági rés. Erről volt szó a cikkben és erről beszéltünk a topikban is.

Jelen esetben a felh. név és jelszó, ami a linkben van , később is hozzáférést ad az oldalhoz.
Aki hozzáfér az urlhez , hozzá fog a nevemben férni az oldalhoz is. Ugyanis aktiválás után nem kéri, hogy változtassak a jelszón.
Tehát a 3-as pont nem állja meg a helyét:

"3. kezdeti jelszót küldtél, amit át kell írjon első bejelentkezéskor és nem engeded tovább, amíg ezt meg nem tette. Akkor a linkben megint nem marad használható jelszó."

Természetesen a jelszónál az általam beírt jelszó jött a mailben.

Azóta Webisztánra is felkerült az oldal, ráadásul ők még jópár hibát észrevettek:

Mindenesetre 3 orbitális hibára szeretném felhívni a figyelmet.

1. Törekedjünk arra, hogy regformok ne flashben legyenek. Miért? Hát azért, mert a netező nem ehhez van szokva, idegen ez a nehézkesen betöltődő, bizarr klikkelés/akció átlaggal működő form. Űrlapkitöltésre tehát, amennyiben lehetséges, használjunk html oldalt.

2. SOHA ne készítsünk olyan weboldalt, szájtot, mely automatikusan újraméretezi a böngészőablakot. Ne feledjük, egyre többen használják a füleket a böngészőkben, és egy ablakátméretezés komoly bosszúságot okozhat a többi fülön futó oldalaknál. (Kevesebbért is blokkoltak már szájtokat a weben.)

3. SOHA ne adjuk ki a felhasználó jelszavát. Mint már korábban is jeleztük, a jelszavak maszkolása azért fontos, hogy a felhasználóban azt az érzetet erősítse, hogy maga a jelszó illetéktelen számára nem látható, tehát rejtve marad. Ehhez képest a Dr. Oetker-es játéknál a regisztrációkor kiküldött aktiváló emailben azt láthatjuk, hogy a jelszavunkat ("valami") szépen, automatikusan beleírták az URL-ünkbe:

[ Módosította: Atlantis ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Nem, nem erről volt szó a cikkben, a cikkben nem szerepeltek olyan kitételek, hogy köteles vagy-e megváltoztatni, stb.

Ne tereljünk, ez moving target vita lenne.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezen történéseket látva aktiválás után nem változtattad meg a jelszavad?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Természetesen megváltoztattam, de azért nem raktam ki ide az eredeti jelszót, mert azt használom valahol máshol is, semmi szükség rá , hogy az egész ph tudja.

És természetesen én regisztráltam az oldalon .

empeti: a profitól még messze vagyok Rengeteget kell fejlődnöm, de ez nagyon szemet szúrt nekem. Alapesetben én generált aktiváló kódot használok, sokszor akár cookie-k esetében is.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

"Köszönjük tildy, hogy regisztráltál a http://www.shake-shake.hu weblapon!

Regisztrációd megerôsítéséhez, kattints az alábbi kódra:"

Ebből úgy tűnik ő maga regisztrált, nem spam...

Egyébiránt itt szerintem nem feltétlen tildyről van szó, aki profi php fejlesztő, hanem az átlag felhasználóra, aki regisztrál a dr. Oetkerre... mondjuk egy háziasszony.

Itt egyébként nem csak akkor aggályos a dolog szerintem, ha nyilvános gépet használsz, hanem akármikor amikor valaki láthatja az előzményeidet

(pl: munkahelyen odaül vki a gépedhez, vagy kollégiumban, vagy akár otthon a saját gyereked, aki rendel a kóddal magának egy óriás plüssnyuszit, ha mondjuk karácsonyra rendeltél neki vmit a játékboltból)

ott a pont
md5-ös kód, ami másra nem jó... szerintem is ez a megoldás

Ebben csak az a megmosolyogtató, hogy kihangsúlyoztad a posztban, hogy te csillagoztad ki a jelszót, nem úgy jött...

Felmerült itt valakiben, hogyha csillagos a jelszó, akkor nyilván a regisztrációban is sok csillagból állt?

Az én szememben az, hogy flashben van a beviteli űrlap, nem súlyos biztonsági probléma, ahogy az átméretezés tilalma sem biztonsági baj. Hogy az aktuális webtervezési trendeknek nem felel meg, azt elhiszem neked.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt anélkül is ki lehet deríteni
(soha nem regisztrálnék magamtól az oldalra: eleve tiszta flash, elkezd idegesítően zenélni, a regisztrációs lapon alig olvashatóan kis betűk vannak, ékezeteket rosszul kezeli és a legjobb, hogy max! 6 karakteres jelszót lehet megadni )
Szóval vissza az oldalra. Az általam megadott jelszót küldi el emailben, és nem kéri, hogy változtassam meg utánna. Igaz, hogy az aktiválás nem léptet be, de a jelszó használható.
Proxyról pont most volt egy szavazás a hupon, és 20% használ még proxyt (olyan válasz nem volt, hogy nem használ, csak hogy nem tudja a találati arányt, úgyhogy ez még magasabb is lehet)

Ez a levél egyáltalán nem bizonyítja, hogy saját akaratából regisztrált, legalábbis én kaptam már több ilyet úgy, hogy a környékükre se mentem.

A többit hagyjuk, hogy ki mit csinálhat az én gépemmel, mert az nem általános jelenség

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hülyebiztosnak kell lenni Még valaki kipróbálja, azt azt mondja, dehiszen ez nem is működik.
Itt egy link, milyen email jön.
(Forrás még mindig webisztán.)

Viccet félretéve : mint írtam, jómagam regisztráltam az oldalra , a megszokott nevemmel, és egyik, megszokott jelszavammal (ezért a csillagozás!!! )- > utólag láttam csak , milyen balga voltam. Az email megérkezte után.

Böngésző előzményben meg benne marad. Tudom aki ekkora hülye , az így járt. Node nem lehet mindenki webfejlesztő , hogy vágja, hogy ez így akkor sem korrekt. Márpedig nem korrekt. Így ahogy van, így nem.

Jelszavakra visszatérve: Van több oldal amit használok, van pár megszokott jelszavam, lehet előfordul egy-kettő ami azonos , de azért próbálom váltogatni.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat! A "kis" emberek mindig ezt teszik, de a nagyok éreztetik veled, hogy te is naggyá válhatsz" - Mark Twain

Ok, akkor pontosítok.
Az, hogy proxy logban marad a jelszavad, akkor érdekes, ha a proxy üzemeltetése nem tekinthető barátinak vagy legalább semlegesnek, mint pl. a szolgáltatói proxyk. Viszont ezeket a sávszélességeket már nem lehet értelmesen proxyzni, ezért a szolgáltatói oldalon szerintem kiment a divatból.

A munkahelyed proxyja vagy a saját gépeden adblocker jelleggel futtatott proxy meg nem ilyen.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ahha...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát, a proxykról eltér a véleményünk. Baráti szerintem legfeljebb a saját lehet, de az sem szerencsés, hiszen abban az esetben egy plain text fájlban tárolódik jelszó a logfájlban. Amit meg nem én üzemeltetek, az meg legfeljebb semleges lehet, de inkább ellenséges (nem vagyok annyira paranoid, mint ahogy hangzik)

Proxyról miben tér el a véleményünk? A teljesítményben vagy a biztonságban?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A nem saját proxyk megbízhatóságában (bár így átolvasva amit írtál már nem vagyok benne biztos, de úgy tűnt, hogy a céges/szolgáltatói oldalban te megbízol)

Akkor abban egyetértünk, hogy nem szerencsés, hogyha egy ilyen rendszerben elmentődik egy jelszó. Céges környezetben meg nem csak cache-elési céllal lehet proxy, hanem mondjuk tartalomszűrésivel is, és ott is elmenthetik az urlt.