kristers_Z

Nu ok, tagad bilde precīzāka.

Es esmu pildījis ne vienu vien no šiem testiem. Neliekas uzticami, jo rezultāts svārstās pat 30 punktu robežās. Pēc codeza skalas 95p ir vājš intelekts bet 95+30 = 125p => tas jau būtu augsti attīstīts. Nu, reāli, nevar 40minūtēs noteikt IQ.. Tad tiešām ir jāvelta, nu, stunda dienā, un mēnesi no vietas kaut vai tie paši uzdevumi jārisina. Tas ļautu atsijāt tādus faktorus kā konkrētās dienas nogurums un tml faktori, un beigās izvilktos ticams vidējais rādītājs..

Gadījumā, ja man nav iespēju mēnesi veltīt 5h dienā tiem uzdevumiem, kur/kā citādi tu iesaki noteikt IQ punktus? Pats savu rezultātu zini? Un ja jā, tad no kāda avota tas nāk?

Vāji, vidēji, labi - man interesē pēc kādas mērauklas codez izšķir šīs trīs stadijas? Nu tā, bez filozofēšanas, ka dažādi cilvēki var būt ļoti daudzpusīgi un gudrība principā ir relatīva pret to, kurš novērtē.. Ja, piemēram, man, gribas zināt, kurai no šīm trīs šķirām es piederu, pēc kā to man noteikt?

Varētu minēt kādu piemēru, uzbrukuma veidu, kur izpaustos drošības atšķirības starp šīm divām metodēm?

Nu tas padara bildi skaidrāku.. Kā datus ir "normāli" jāsaglabā servera pusē? Tas pats CodeIgniter tam piedāvā izveidot īpašu datubāzes tabulu, bet vai ar šādu uzdevumu nevajadzētu tikt galā servera RAM atmiņai?

Jā, biju pamanījis IP lēkāšanu Tele2 tīklā. Man ir aizdomas ka tas tā varētu būt ari citos tīklos, arī ne tikai mobilajos. Tieši dēļ šīs problēmas es domāju, ka datora papildus autentificēšanu izmantojot IP nemaz nedrīkst veikt, jo lietotāji aiz šādiem tīkliem nemaz nevarēs izmantot sistēmu. Viņus visu laiku automātiski metīs laukā. Tomēr, manuprāt, papildus drošību varētu panākt, ja šādu IP monitoringu ieviestu tikai administratoru kontiem. Piemēram, ja sistēmā reģistrēti 1000 parasti lietotāji un 10 administratori. Tas pat neradītu serverim noslodzi. Adminu konti ir prioritāte, jo no tiem iespējams sastrādāt vairāk malicious darbību. Tomēr jā - tas nepalīdz aizsargāt parastos lietotājus.

CI User guide oficiālā lapa http://ellislab.com/codeigniter/user-guide/libraries/sessions.html sadaļā ""What is session data?" raksta: A session, as far as CodeIgniter is concerned, is simply an array containing the following information: The user's unique Session ID (this is a statistically random string with very strong entropy, hashed with MD5 for portability, and regenerated (by default) every five minutes) The user's IP Address The user's User Agent data (the first 120 characters of the browser data string) The "last activity" time stamp. The above data is stored in a cookie as a serialized array with this prototype: [array] ( 'session_id' => random hash, 'ip_address' => 'string - user IP address', 'user_agent' => 'string - user agent data', 'last_activity' => timestamp ) Izvilkums no koda: // Is the session data we unserialized an array with the correct format? if ( ! is_array($session) OR ! isset($session['session_id']) OR ! isset($session['ip_address']) OR ! isset($session['user_agent']) OR ! isset($session['last_activity'])) { $this->sess_destroy(); return FALSE; } // Is the session current? if (($session['last_activity'] + $this->sess_expiration) < $this->now) { $this->sess_destroy(); return FALSE; } // Does the IP Match? if ($this->sess_match_ip == TRUE AND $session['ip_address'] != $this->CI->input->ip_address()) { $this->sess_destroy(); return FALSE; } // Does the User Agent Match? if ($this->sess_match_useragent == TRUE AND trim($session['user_agent']) != trim(substr($this->CI->input->user_agent(), 0, 120))) { $this->sess_destroy(); return FALSE; }

1.) Kāda jēga CodeIgniter cepumā saglabāt visu to, kas tur tiek saglabāts - IP, User Agent, timestampu ? 2.) Vai IP izmantošana lielajos servisos vispār dotu kādu papildus drošību un vai tā izmantošana ir iespējama? Papildus drošību es iztēlojos tā, ka bez IP kāds var nozagt kukiju un 5min laikā to ievadīt savā pārlūkā, autorizēties. Ja tiek salīdzinātas IP, tas nav iespējams. Un to neiespējamību izmantot es iedomājos dēļ lietotājiem kas ir aiz proxijiem un tml ietaisēm, dēļ kurām lapas browsošanas laikā lietotājam var mainīties IP adrese, dēļ kā viņš tiks regulāri izmests no lapas un lūgts autorizēties vēlreiz.

Codez, ar IP neizmantošanu lielajos servisos tu domāji tā, ka ar portatīvo vienā WiFi tīklā autorizējās kādā lapā, tad atslēdzas no tā tīkla, pievienojas citam, refrešo lapu un netiks prasīts ielogoties vēlreiz?

php.com : "Also its always good to ensure every valid session is checked against an ip. One good method is to store the session id and remote ip information in a table, or better store the ip as a session variable itself, once the user logs in and ensure that this is continued for remaining pages for security. This ofcourse wont work when users use the same office or shared network as the ip to the outside world is the same." Kā tiek atšķirti divi datori aiz viena rūtera vai aiz vienas proxy adreses, kam ir vienādas pārlukprogrammas? Tas nozīmē ka IP un User Agent sakrīt. Vai šādā gadījumā atškiršanai tiek lietots Code Igniter saglabātais sesijas izveidošanas (ielogošanās) timestamp?

Ielogojot lietotāju lapas administratoru zonā, es lietoju sesiju. Vai parbauditu, vai lietotajs ir ielogots, ar isset() parbaudu vai vinam ir sesija. Kādi mehānismi pastāv, kas mani attur no iespējas nozagt cita ielogota lietotāja cookie vērtību, izmainīt manā pārlūkprogrammā esošo cookie, refreshot lapu un iekļūt tā otra cilvēka profilā? P.S (Šeit pieņemam, ka man IR piekļuve otra cilvēka datoram bet kaut kāda iemesla pēc es nevaru nozagt plain-text paroli un nevaru arī izmantot jau ielogoto profilu. Man obligāti vajag autorizēties uz cita datora.)