Od: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyPro mě končí pracovní doba až ráno, takže spíše bych byl nadšenec, kdybych to řešil přes den:-) „Ano, to jistě. Tzn. že váš bezpečnostní protokol předpokládá...
View ArticleOd: Jakub Vrána
Re: Nevynalézejte bezpečnostní protokolyHeslo v plaintextu na nic nepotřebuji. Pokud se mi podaří získat X (které je dostupné z JavaScriptu), tak uživatele v aplikaci plně ovládám bez časového omezení....
View ArticleOd: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyJeště poslední dodatek. Chtěl bych, aby to bylo totálně neprůstřelné, tedy i kdyby došlo k XSS útoku a ty získal X uživatelů třeba z localstorage, tak stejně aby...
View ArticleOd: Jakub Vrána
Re: Nevynalézejte bezpečnostní protokolyAutor aplikace má právo si rozhodnout, jak se jeho aplikace bude chovat. Mně u většiny aplikací vyhovuje chování, že pokud si změním heslo, tak kvůli tomu nechci...
View ArticleOd: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyTak X se samozřejmě z hesla generovat nemusí, hash se generovat může jakkoliv. Já to jako problém vnímám. Mně vyhovuje řešení Google a jsem za něj rád. Tobě ne,...
View ArticleOd: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyJeště jeden dodatek:-) Řešení může být jako předtím, ale místo X-Auth se bude posílat druhý hash v cookie, která bude nastavena jako http-only. Znamená to, že ji...
View ArticleOd: Jakub Vrána
Re: Nevynalézejte bezpečnostní protokolyOdhlášení po změně hesla není „pokud chci“, ale nevyhnutelné. Použití standardního mechanismu prohlížeče (HTTP-only cookie) tomu pomohlo, ale bezpečnost ve...
View ArticleOd: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyJak jsem psal, hash nemusí být nutně generovaný z hesla, takže pokud tuhle funkčnost mít nechci, programovat ji nemusím. Ale já to považuji za velkou výhodu,...
View ArticleOd: Jakub Mrozek
Re: Nevynalézejte bezpečnostní protokolyJeště k té omezené platnosti identifikátoru. Standardně se používá session_regenerate_id() po přihlášení, že? Aby se přegenerovalo session ID. To by ale nebyl...
View ArticleOd: ivoszz
Sice přicházím ...… s křížkem po funuse, ale přijde mi poněkud nešťastné v článku zmiňovat SHA1 v době, kdy je součástí standardní knihovny crypto metoda [crypto.pbkdf2(password, salt, iterations,...
View Article