andrisp Posted February 1, 2008 Report Posted February 1, 2008 Ā, nu labi. Bet tas nemaina lietas būtību - glabā to informāciju kādā failā. Jo ja sūtīs caur URL, tad jebkurš pēc tam paskatoties history, varēs viegli redzēt paroli.
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 ak vai ... tik daudz kas jāparedz un jāpārbauda!
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 hmm ideja! :) bet ja URL beigās piekabina laiku un tad to salīdzināt ar pulksteni datorā un ja tas vecāks tad nekā!
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 laikam jau ka klient pusē baigo-uber-drošo logošanos nevarēs sataisīt, bet ja lapa darbosies iekš LAN, tad jau var palikt tik tāda vienkārša. Un lietotāji nebūs no tiem kas labos URL un grozīs dator pulksteni! Un visādā citā veidā nodarbosies ar kaitniecību!
andrisp Posted February 1, 2008 Report Posted February 1, 2008 laikam jau ka klient pusē baigo-uber-drošo logošanos nevarēs sataisīt Tur tev taisnība. Bet vienalga domāju, ka labāk un vienkāršāk tomēr ierakstīt failā info vai lietotājs ir vai nav ielogojies. (Paroli glabāt nevajag). Failus tu taču jau iemācījies no JS izveidot ar ActiveX.
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 bet pie faila ierakstīšanas IE pieprasa apstiprināt ActiveX! un tā ir lieka peles klikšķināšana!
andrisp Posted February 1, 2008 Report Posted February 1, 2008 Pieliec saitu pie Trused sites (kā nekā tā sistēma taču būs iekšējai lietošanai). Domāju, ka tad neprasīs.
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 Var kaut kā sataisīt drošu mainīgo padošanu caur URL?
andrisp Posted February 1, 2008 Report Posted February 1, 2008 (edited) Nē. Protams, tos datus var aizkodēt kaut kā, bet tas daudz ko nedos (pareizāk sakot - tas nedos praktiski neko). Edited February 1, 2008 by andrisp
Aleksejs Posted February 1, 2008 Report Posted February 1, 2008 Kādā ziņā drošu? Drošu, ka lietotājs neredz vai drošu, ka kāds cits neredz, vai kaut kādā citā ziņā drošu.
Sasa Posted February 1, 2008 Author Report Posted February 1, 2008 drošu var vienalga kādā veidā, bet lai nevarētu atrediģēt padodamo URL un tikt lapā tā par vien!
andrisp Posted February 1, 2008 Report Posted February 1, 2008 100% droši nekad nevarēs. Bet var izmantot to pašu metodi, ko pieminēji par laika padošanu, bet to laiku kārtīgi nokodējot ar kādu savu custom algoritmu. Bet nu tas tāpat nebūs droši.
Aleksejs Posted February 1, 2008 Report Posted February 1, 2008 Ir domāts, ka to drošo URL uzģenerē serveris vai arī ir domāts, ka klients to uzģenerē? Ja serveris, tad piesaisti sesijai katru reizi nākošo validācijas parametru - random virkni, kuras saņemšanu pārbaudi... Bet vispār, lai kaut ko varētu ieteikt, vajag plašāku prasību un problēmas izklāstu, kā arī izklāstu pret ko un kas ir jāaizsargā.
Recommended Posts