kristers_Z

IQ nav lineāra skala, bet atspoguļo normālsadalījuma līkni un nevis absolūtu, bet relatīvu pret pārējiem. Šeit es runāju par populārāko IQ skalu ar standartdeviāciju 15.

100 nozīmē, ka tieši 50% izpildījuši sliktāk par tevi, bet 50% labāk.

Nu ok, tagad bilde precīzāka.

Hmmmm... Izpildīju, man pateica, ka mans IQ ir 133. Kaut kad agrāk pildīju citu testu, tur bija 100 + padsmit...

Es esmu pildījis ne vienu vien no šiem testiem. Neliekas uzticami, jo rezultāts svārstās pat 30 punktu robežās. Pēc codeza skalas 95p ir vājš intelekts bet 95+30 = 125p => tas jau būtu augsti attīstīts.

Nu, reāli, nevar 40minūtēs noteikt IQ.. Tad tiešām ir jāvelta, nu, stunda dienā, un mēnesi no vietas kaut vai tie paši uzdevumi jārisina. Tas ļautu atsijāt tādus faktorus kā konkrētās dienas nogurums un tml faktori, un beigās izvilktos ticams vidējais rādītājs..

Vienkāršajā variantā tas ir IQ:

1. grupas <100

2. grupas 100 - 115

3. grupa >115

 

2. variants:

http://www.lio.lv/olimps/uzdevumi.php

Paņem visus uzdevumus ar 1 līdz 3 zvaigznēm un risini.

1. grupa - vari atrisināt zem 150 stundām (mēnesis, dienā veltot 5 stundas)

2. grupa - 150 līdz 1000 stundas

3. grupa - nevari atrisināt ilgāk par 1000 stundām.

Gadījumā, ja man nav iespēju mēnesi veltīt 5h dienā tiem uzdevumiem, kur/kā citādi tu iesaki noteikt IQ punktus? Pats savu rezultātu zini? Un ja jā, tad no kāda avota tas nāk?

intelektuālās spējas. Ja tās ir ļoti vājas 15+ gados, tad visdrīzāk ar programmēšanu nevajadzētu nodarboties.

Ja tās ir ļoti labas, tad nekas no manis rakstītā neradīs problēmas. Ja tās ir vidējas (uz robežas),

 

Vāji, vidēji, labi - man interesē pēc kādas mērauklas codez izšķir šīs trīs stadijas? Nu tā, bez filozofēšanas, ka dažādi cilvēki var būt ļoti daudzpusīgi un gudrība principā ir relatīva pret to, kurš novērtē.. Ja, piemēram, man, gribas zināt, kurai no šīm trīs šķirām es piederu, pēc kā to man noteikt?

1. Sesijas datus var glabāt db un, ja nav nepieciešama 100% šo datu saglabāšanas drošība, to var darīt memory tabulā.

Varētu minēt kādu piemēru, uzbrukuma veidu, kur izpaustos drošības atšķirības starp šīm divām metodēm?

Tātad ip pārbaude ir papildus fīča, kuru var pieslēgt, bet nav defaultā.

 

Bet vispār CI kūkiju bibliotēka ir diezgan dīvaina, dēļ tā, ka visi dati tiek kriptēti un glabāti pašos kūkijos. Manuprāt tas ir neefektīvi, jo šie dati tiek sūtīti katrā pieprasījumā, tai skaitā ajax un resursu failiem.

Es parasti daru tā, ka kūkijos glabāju tikai vērtību, pēc kuras var noteikt uz kuru sesiju vai lietotāju tā attiecas. Visi pārējie dati glabājas servera pusē.

Nu tas padara bildi skaidrāku..

Kā datus ir "normāli" jāsaglabā servera pusē? Tas pats CodeIgniter tam piedāvā izveidot īpašu datubāzes tabulu, bet vai ar šādu uzdevumu nevajadzētu tikt galā servera RAM atmiņai?

Vēl viens scenārijs, kurā vienas sesijas ietvaros cilvēkam lēkā IP adrese ir pieslēgums caur mobilo operatoru (it īpaši tas attioecas uz Tele2, kuram pat IP adrešu diapazonu nav tik viegli nodefinēt) - ja izmanto Tor - tad vispār...

Jā, biju pamanījis IP lēkāšanu Tele2 tīklā. Man ir aizdomas ka tas tā varētu būt ari citos tīklos, arī ne tikai mobilajos. Tieši dēļ šīs problēmas es domāju, ka datora papildus autentificēšanu izmantojot IP nemaz nedrīkst veikt, jo lietotāji aiz šādiem tīkliem nemaz nevarēs izmantot sistēmu. Viņus visu laiku automātiski metīs laukā.

Tomēr, manuprāt, papildus drošību varētu panākt, ja šādu IP monitoringu ieviestu tikai administratoru kontiem. Piemēram, ja sistēmā reģistrēti 1000 parasti lietotāji un 10 administratori. Tas pat neradītu serverim noslodzi. Adminu konti ir prioritāte, jo no tiem iespējams sastrādāt vairāk malicious darbību. Tomēr jā - tas nepalīdz aizsargāt parastos lietotājus.

Neesmu pētījis konkrēti CI kodu, bet visdrīzāk, ka kūkijos nekas tāds netiek saglabāts.

Ja tu domā, ka tiek, vai vari parādīt par kuru koda vietu konkrēti ir runa?IP papildus lietošana dodu papildus drošību tikai tajos gadijumos, kad kūkiju var nozagt, bet pašu paroli nevar. Vienīgais, kas nāk prātā šādai situācijai, ir lapa ar XSS ievainojamību, kur to izmantojot labā tiek iekļauts js, kurš nozog lietotāju kūkijus un nosūta saimniekam.

CI User guide oficiālā lapa http://ellislab.com/codeigniter/user-guide/libraries/sessions.html sadaļā ""What is session data?" raksta:

A session, as far as CodeIgniter is concerned, is simply an array containing the following information:

• The user's unique Session ID (this is a statistically random string with very strong entropy, hashed with MD5 for portability, and regenerated (by default) every five minutes)
• The user's IP Address
• The user's User Agent data (the first 120 characters of the browser data string)
• The "last activity" time stamp.

The above data is stored in a cookie as a serialized array with this prototype:

[array]

(

     'session_id'    => random hash,

     'ip_address'    => 'string - user IP address',

     'user_agent'    => 'string - user agent data',

     'last_activity' => timestamp

)

Izvilkums no koda:

// Is the session data we unserialized an array with the correct format?
		if ( ! is_array($session) OR ! isset($session['session_id']) OR ! isset($session['ip_address']) OR ! isset($session['user_agent']) OR ! isset($session['last_activity']))
		{
			$this->sess_destroy();
			return FALSE;
		}

		// Is the session current?
		if (($session['last_activity'] + $this->sess_expiration) < $this->now)
		{
			$this->sess_destroy();
			return FALSE;
		}

		// Does the IP Match?
		if ($this->sess_match_ip == TRUE AND $session['ip_address'] != $this->CI->input->ip_address())
		{
			$this->sess_destroy();
			return FALSE;
		}

		// Does the User Agent Match?
		if ($this->sess_match_useragent == TRUE AND trim($session['user_agent']) != trim(substr($this->CI->input->user_agent(), 0, 120)))
		{
			$this->sess_destroy();
			return FALSE;
		}

Jā.

1.) Kāda jēga CodeIgniter cepumā saglabāt visu to, kas tur tiek saglabāts - IP, User Agent, timestampu ?

2.) Vai IP izmantošana lielajos servisos vispār dotu kādu papildus drošību un vai tā izmantošana ir iespējama? Papildus drošību es iztēlojos tā, ka bez IP kāds var nozagt kukiju un 5min laikā to ievadīt savā pārlūkā, autorizēties. Ja tiek salīdzinātas IP, tas nav iespējams. Un to neiespējamību izmantot es iedomājos dēļ lietotājiem kas ir aiz proxijiem un tml ietaisēm, dēļ kurām lapas browsošanas laikā lietotājam var mainīties IP adrese, dēļ kā viņš tiks regulāri izmests no lapas un lūgts autorizēties vēlreiz.

Codez, ar IP neizmantošanu lielajos servisos tu domāji tā, ka ar portatīvo vienā WiFi tīklā autorizējās kādā lapā, tad atslēdzas no tā tīkla, pievienojas citam, refrešo lapu un netiks prasīts ielogoties vēlreiz?

php.com :

"Also its always good to ensure every valid session is checked against an ip. One good method is to store the session id and remote ip information in a table, or better store the ip as a session variable itself, once the user logs in and ensure that this is continued for remaining pages for security. This ofcourse wont work when users use the same office or shared network as the ip to the outside world is the same."

Kā tiek atšķirti divi datori aiz viena rūtera vai aiz vienas proxy adreses, kam ir vienādas pārlukprogrammas? Tas nozīmē ka IP un User Agent sakrīt. Vai šādā gadījumā atškiršanai tiek lietots Code Igniter saglabātais sesijas izveidošanas (ielogošanās) timestamp?