|
|
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
всем доброго! по кейсу при регистрации чел сначала вводит свои персональные данные и потом логин пароль вот только эти две моменты в разных окнах происходит, при этом для перехода второе окно введенные данные записываются в БД + не только то что ввел но и собираются из разных источников (ну это не суть), и потом отправляется смс код для подтверждение номера телефона (в этом случае статус пользователя будет РЕГИСТРАЦИЯ_НЕ_ЗАВЕРШЕНА) и после этого осуществляется переход на окно ввода логина пароля... собственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль? З.Ы. да можно в сторедже браузера хранить предыдущие введенные данные пользователя и отправить все, но никому не секрет этих данных можно изменить при отправке тогда... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:02 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, для идентификации существует id сессии. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:15 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, веб ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:16 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
почему то думал при удачной завершении первой страницы клиенту отправить некий токен (где время жизни скажем 3 минуты) чтоб тот в хидере отправлял с логином и паролем и по токену нашел кому это принадлежит... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:23 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, какая-то странная логика ввода. почему нельзя все вводить? ну и после вода каждого поля отправлять введенное на сервер? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:34 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Почему два окна? Почему при РЕГИСТРАЦИИ какой то пароль? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 15:52 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
ну изначально так утвердили первое окно: номер персональной карты номер телефона эмейл далее в бэке сбор данных и отправка смс с кодом для верификации введенного номера первой же окне ввод номера и кнопка далее (для перехода но второе окно) во второй окне полученные данные из сервера по персональной карте (это для информации типа все верно или нет чел может посмотреть) и ввод логина и пароли после кнопка завершение регистрации и в бэке уже имеющемуся юзеру логин и пароль + изменение статуса на РЕГИСТРИРОВАН ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:00 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку. Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД. Вот тут уже было обсуждение HTTP сессий более детально . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:02 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Stanislav Bashkyrtsev Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку. Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД. все верно но тут как видите данные отправляются порционно, юзер создается юзер обновляется... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:06 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль. Так? Далее ОН САМ меняет пароль когда захочет. Зачем усложнять? Чтобы дырка в безопасности была? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:10 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp Музаффар, Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль. Так? Далее ОН САМ меняет пароль когда захочет. Зачем усложнять? Чтобы дырка в безопасности была? не совсем первом окне Код: plsql 1. 2. 3. 4. только при завершении этапа регистрации Код: plsql 1. 2. 3. 4. 5. ну если захочет то когда зайдет в систему может менять пароль но сейчас речь не об этом. в том то и дело чтоб избежать от дыр, обратился в форум. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:31 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, у тебя есть idсессии . вот к нему и привяжи все параметры ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:40 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Ты не понял? Одна дыра когда ты делаешь лишние действия. Можно без них? Можно! Вторая дыра переход по окнам. Можно без них? Можно карл! Итого минус один бал за окна и минус один за ввод логина. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:43 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя Музаффар, у тебя есть idсессии . вот к нему и привяжи все параметры То есть работать будет. Но безопасность ниже. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:45 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, со всеми этими утверждениями я согласен, но по ТЗ так должно быть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:47 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, попробуй обосновать дыру в тз может изменят тз ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:49 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар PetroNotC Sharp, со всеми этими утверждениями я согласен, но по ТЗ так должно быть. Уже кое что. Хотя бы понимание есть. Как вы потом в работе отличаете юзверей при переходе по окнам? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 16:51 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, в смысле, то кому принадлежит тот или иной логин/пароль? или то то другое подразумевается? вадя, возможно, я об этом говорил пока тишина ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 17:04 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Ну, у тебя вопрос выше - авторсобственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль? После регистрации как определяете? Из пятого окна что ходит Петров? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 17:14 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Получается так: - более безопасно без переходов так как до аутентификации механизм безопасного перехода по окнам еще не создан. Непонятно кто ходит по окнам. - если плюнуть на безопасность то маркер любой - куки/id session/в урле дописать что это вася и т.д. Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 17:24 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, как я понимаю, после верификации телефона, в браузер отправится номер_карты, а браузер откроет второе окно, далее логин/пароль + номер_карты отправляет в бэк тот уже по номеру карты идентифицирует кому принадлежит логин/пароль З.Ы. понимаю это дыра, типа можно при отправке логина/пароля + (можно другой номер_карты) и тогда получится у кого та логин/пароль меняется... вот изза этой возможной дыры писал сюда ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 17:33 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Есть всего два, три метода в мире при переходах по окнам - сессия сервера - токен в хидере - токен в урле - токен в куке Все вроде. Мы даже не знаем что у тебя применяется. Второй момент почему либа не используется? Все руками? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 17:42 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, так вышеперечисленные метода актуальны после авторизации как я понимаю правильно? когда залогинился все через jwt идет но тут до этого же ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 18:58 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, при регистрации самое удобное, когда юзер вводит все параметры в одной странице. при этом при вводе телефона, мыла, логина происходит их отправка на сервер для проверки на дубли. после ввода отправка на сервер команды о готовности данных, сервер отправляет смс, юзер вводит код из смс и только тогда всё отправляется на сервер. если смс не совпадает возврат клиенту.... при этом снимаются все твои проблемы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 22:02 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар PetroNotC Sharp, так вышеперечисленные метода актуальны после авторизации как я понимаю правильно? когда залогинился все через jwt идет но тут до этого же Теперь при переходах ты должен придумать свой токен что чревато и велосипедно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2021, 22:30 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, да это так, если руководство согласится на это PetroNotC Sharp, так получается вне основной спринг секьюр жвт должен ещё какой то механизм создать? то то говорил ранее? 22359467 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 06:20 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар вадя, да это так, если руководство согласится на это PetroNotC Sharp, так получается вне основной спринг секьюр жвт должен ещё какой то механизм создать? то то говорил ранее? 22359467 Сделать пример. Запостить пример сюда. К этому времени начальство тебе даст ответ. Либо им пофиг и хакеров нет. Либо дадут тебе карт бланш. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 07:59 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, я пока вижу такой кейс, сгенерировать некий токен где премя жизни 3 минуты записать в базу для этого пользователя и передать из второй окна логин+пароль+токен, проверка на бэк будет время жизни + статус пользователя если тру то обновление данных пользователя а средствами самого спринга пока хз а на счет библиотек толи искал не там где надо толи реально таких кейсов совсем мало ) в основном там при регистрации все в одном флаконе идет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 08:15 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар номер персональной карты номер телефона эмейл Если номер персональной карты уникальный, то и привязываться к нему. Т.е. Primary Id - card number, login - unique key. Да можно и к номеру телефона или к e-mail привязаться. Во втором окне, если успешно - по номеру персональной карты обновлять login и password 1. Персональных данных особо не увидел. С ФЗ особо не знаком. Но ни ФИО, ни паспортных данных нет. 2. Т.ч. где тут персональные данные и что и в какой момент утекает, мне не понятно 3. Если я правильно понимаю,еще будет SMS + окно подтверждения по SMS - т.ч. окон на самом деле не два, а более. Одним окном (HTTP-запросом) вряд ли обойдется в любом случае 4. На многих сайтах/организациях вообще не дают login придумывать. Номер телефона / e-mail и служить логином. AFAIK Если я правильно понял ТЗ и проблему ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 08:21 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Leonid Kudryavtsev, +1 Логин редко сами придумывают это факт. Либо придумывают как бы логин А вот про персональные ТС сам сказал "чел сначала вводит свои персональные данные". Про окна, можно конечно и без окна смс подтвердить и с порожденным окном. Суть в том что по AJAX. Вообще,если либа поддерживает двухфакторную то там все из коробки. Аффтар молчит про это. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 09:32 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
уважаемые, проект не корпоративный, получается логин/пароль придумывает сам юзер. скажем когда Вы зарегались в гугле там же логин/пароль сами придумали и если есть такой логин гугл предлагает свои варианты и то не факт что чел выбирает что то из этих... на основе номера карты из удаленных сервисов собираются персональные данные человека... смс с кодом это только удостовериться что указанный номер как бы принадлежит этому челу чтоб дальнейшем на этот номер отправить смски а на счет готовых либ пока не нашел, если есть наводки был бы рад... а так как минимум остается вариант созданием некого токена и хранение у юзверя который будет действителен в течении 3х минут или же в течении сутки (вдруг у чела выключился свет) чтоб мог продолжит при таких случаях но все же буду надеяться что скажут сделать одним запросом, т.е. не на двух окнах... или если есть другой вариант без хранение в бд, тоже хотел бы услышит или же наводку на либы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 11:31 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Да неудобно когда чел сам придумывает логин при ДВУХ факторной. При ней главное вообще не логин а то куда шлем второй запрос - номер смс или почта или номер голубятни или уникальный IP. Второй запрос будет уникалный. Так? Можно и номер карты или номер паспорта взять. https://www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 19:37 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар а на счет готовых либ пока не нашел, если есть наводки был бы рад... Я не знаю. Она может? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 19:39 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
Музаффар, Ну, костыль руками это - токен шифрованый хоть в урл хоть внутри запроса. - просто в урл добить не шифруя. sql.ru/app/?userid=352789 Скажи начальству что если делать много окон то можно ничего не шифровать))))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 19:42 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, логин имеет свойство быть отображаем открыто на странице. что не желательно для тел, карты, мыла ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 19:45 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, а мне понравилась аутентификация через телеграм бота. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.08.2021, 19:51 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, Очень часто ввожу мыло. Оно не отображается. А в профиле так и написано - логин видимый для отображения. Козе понятно что настоящий логин мыло. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 06:50 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, не факт, пример sql.ru ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 07:56 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, Я говорил о двухфакторной. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 09:40 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, OFF Пробовал? Работает? авторИскусственный интеллект: в Москве заработал Telegram-бот для проверки объектов недвижимости https://www.mk.ru/social/2021/08/16/iskusstvennyy-intellekt-v-moskve-zarabotal-telegrambot-dlya-proverki-obektov-nedvizhimosti.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 10:07 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
PetroNotC Sharp, не, я ж не в Москве ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 10:14 |
|
||
|
безопасть в регистрации в системе
|
|||
|---|---|---|---|
|
#18+
вадя, Дело в технологиях а не географии). В чем там ИИ, если простой ответ по галочкам... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.08.2021, 10:27 |
|
||
|
|
start [/forum/topic.php?all=1&fid=59&tid=2120375]: |
0ms |
get settings: |
17ms |
get forum list: |
7ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
54ms |
get topic data: |
4ms |
get forum data: |
1ms |
get page messages: |
666ms |
get tp. blocked users: |
1ms |
| others: | 357ms |
| total: | 1109ms |
| 0 / 0 |
