Hirdetés
- GoodSpeed: MacBook egy kis gikszerrel.
- koxx: Bloons TD5 - Tower Defense játék
- ldave: New Game Blitz - 2026
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- btz: Internet fejlesztés országosan!
- Tonnara di Scopello
- sziku69: Fűzzük össze a szavakat :)
- sziku69: Szólánc.
Új hozzászólás Aktív témák
-
cucka
addikt
Ha a jelszót bekérik regisztrációkor, akkor azt általában nem kell utána azonnal megváltoztasd, mivel nem lenne semmi értelme. Ha a programozó van annyira barom, hogy elköveti a hibát, a legelső tesztelésnél ki fog bukni, hogy ez így nem jó. A cikkben szereplő konkrét weboldalnál is így működik, mert így logikus. (Függetlenül attól, hogy írja-e a cikkben vagy sem). Gondoltam ezt nem kell részletezni, a józan ész elég hozzá, hogy kizárd ezt a lehetőséget.
(#63) bambano
A moving target a #23-ban van, amikor olyan elképzelt helyzetekről kezd el vitázni, ami nehogy nem veszélyes, nem is fordult itt elő.
Ott a lehetséges jó megoldásokat soroltam a cikkben vázolt problémára. Látom, bejön neked ez a "moving target" dolog, de itt most csupán arról van szó, hogy félreértettél. -
cucka
addikt
Szerintem elbeszélünk egymás mellett. Ha egy generált jelszót küldesz linkben, amit azonnal meg kell változtatni, akkor az ekvivalens azzal, hogy egy generált kódot küldesz, ez triviális. (Mivel a kezdeti jelszót, amit köteles megváltoztatni, a rendszered generálja)
Ha a kezdeti jelszót nem vagy köteles megváltoztatni az első belépésnél, akkor azt nem szabad kiküldeni linkben, mert ez biztonsági rés. Erről volt szó a cikkben és erről beszéltünk a topikban is.
-
cucka
addikt
Nagyjából. Az a baj, hogy többfajta megoldás van, nem tudom, melyikre gondolsz.
- linket küldök, ami aktiválja a júzert
- linket küldök, amin beírhatja a jelszavát
- kezdeti jelszót küldök mailben, amit át kell írjon (vagy átírhat) első bejelentkezésnélA lényeg, hogy a böngésző history-jában nem jelenik meg olyan adat, amivel közvetlenül vagy közvetve be lehet lépni a felhasználó nevében a rendszerbe.
-
cucka
addikt
Tehát ha jól értem, ha lenyúltam a kódolt jelszót vagy random akármit tartalmazó url-t, akkor egy másik böngészőből be tudok jelentkezni legalább egyszer és át tudom írni a jelszót meg az email címet magamnak.
A link csak egyszer él, tehát jó eséllyel hiába nyúlod le (másodszori látogatásnál már nem működik). Ha a link csak a felhasználót aktiválja, akkor meg semmit nem érsz vele. Azért küldünk felhasználónév+jelszó helyett kódot és user_id-t, mert azzal nem lehet belépni az oldalra. Értem ám, hogy most elhatároztad, valamibe nagyon bele fogsz kötni, de hidd el, ezek a rendszerek elég jól ki vannak találva
. -
cucka
addikt
A felhasználó postaládáját elvileg csak a felhasználó láthatja, ezért szerintem simán el lehet küldeni mail-ben a jelszót, ezáltal egy füst alatt ellenőrizted azt is, hogy valós email címről regisztrált-e. Nyilván egy banki oldalnál nem küldünk email-ben jelszót, de normális biztonsági szint mellett szerintem megengedhető.
(#14) stevve
Azért, mert az adatbázisban kódolva tárolod, még regisztrációnál simán elküldheted a jelszót levélben, nincs semmilyen technikai akadálya. -
cucka
addikt
Ok, tehát ha sokan használják az én pc-met az én accountommal, akkor ebből lehet baj. Ez ugyan nem életszerű, de ebben igazad van.
Például internetkávézóban jön a következő arc, kinyitja a history ablakot és ott virul a jelszavad. Ne feltétlenül abból indulj ki, hogy te mennyire biztonságosan és magas szinten használod a számítógépedet.
A probléma itt amúgy is elvi jellegű. Nyilván egy ilyen nyereményjátéknál nehéz komoly károkat okozni azzal, ha valaki megtudja a jelszavad, de képzeld el, ha a webes levelezőrendszer, egy társkereső oldal, vagy mondjuk egy bank küldené ilyen formában a jelszavakat..Mennyivel jobb a helyzet, ha a kódolt jelszavamat látja, nem a kódolatlant?
Például az email-ben kiküldött regisztrációt aktiváló linknél a linkbe bekerül a felhasználó azonosítója és egy random kód, amit regisztrációkor generálsz. Ez a kettő egyértelműen azonosítja a felhasználót, viszont ha nem férsz hozzá a weboldal adatbázisához, akkor nem érsz velük semmit.
Persze ki lehet találni bonyolultabb eljárást is, amit leírtam, az egy egyszerű, könnyen megvalósítható megoldás. -
cucka
addikt
Már írta: az a gond, hogy bárki, aki meg tudja nézni a böngészési előzményeidet, látja a jelszavadat kódolatlanul. Azért dühítő, mert ugyanennyi erőfeszítéssel biztonságosan is meg lehet oldani ezt a problémát. Az a fejlesztő, aki ilyen triviális biztonsági rést nem vesz érszre, az valószínűleg a sokkal komolyabb veszélyeken és hibalehetőségeken is átsiklik.
(#2) tildy - A mailben jelszó leküldés korrekt. Paranoiások számára ez is biztonsági rés, de amúgy az átlag felhasználónak hasznos szolgáltatás.
.
Új hozzászólás Aktív témák
Hirdetés
- BONTATLAN ZSÍR ÚJ MSI RTX 5080 16G INSPIRE 3X
- Steam Deck 2023 64 GB - MAKULÁTLAN + EXTRÁK
- Samsung Galaxy S24 - 8G/256GB Onyx Black MAKULÁTLAN
- Apple iPhone 15 Pro 128GB, Akku: 92%, Megkímélt, Kártyafüggetlen, Töltővel, 1 Év Garanciával!
- Keresem a V-TAC SKU 7921 csillár mennyezeti ventilátort, tartalmazza a 4db E27 lámpa foglalatot.
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest