Гость
Войти | Профиль | Очистить
Действия ...
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Register+Login: разные подходы для защиты данных? / 19 сообщений из 19, страница 1 из 1
11.01.2020, 10:20
    #39912722
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
1. Новый юзер заходит на сайт, регистрируется, получает емейл подтверждения, подтверждает, логинится.
2. Юзер сам не регистрируется, юзеров регистрирует админ, но емейл подтверждения приходит юзеру и т.д.

Мне больше подходит вариант(2).

Т.е. если на сайте есть "чувствительные" данные, которые не должны быть доступны случайным юзерам,
то в случае (1) некий враг-юзер регистрируется, автоматически ему шлется емейл, он подтверждает и данные доступны.

Какие еще подходы есть?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 11:42
    #39912738
hVostt
hVostt
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
Какие еще подходы есть?


Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 13:00
    #39912748
skyANA
skyANA
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
Какие еще подходы есть?

Обсудить с заказчиком, кто его пользователи, какие роли исполняют и какие права имеют.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 20:22
    #39912862
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
hVostt
Ролг Хупин
Какие еще подходы есть?


Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.


да, но в п.1 и как получается практически по умолчанию в Blazor|ASP.NET проекте с момента регистрации юзера все делается автоматом и он получает доступ к сайту.

Я вот о чем: что-то бы сделать после того, как юзер подтвердил емейл, например, создавать account локнутым, и админ должен руками анлокнуть.Те чтобы окончательное решение принимал админ.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 20:25
    #39912864
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
hVostt
Ролг Хупин
Какие еще подходы есть?


Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.


ну, или создавать в какой-то роли типа "Странные", которая не имеет доступа к данным,
а админ потом руками передвигает юзера в роль "Юзеры"
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 21:25
    #39912878
Дмитрий Мух
Дмитрий Мух
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
hVostt
пропущено...


Роли, полномочия, политики безопасности.

Не важно, как пользователь заведён в системе, руками или сам зарегался.
Необходимые права ему должно дать уполномоченное лицо.


ну, или создавать в какой-то роли типа "Странные", которая не имеет доступа к данным,
а админ потом руками передвигает юзера в роль "Юзеры"
К чему же такому имеет доступ пользователь после регистрации? К данным других пользователей что-ли? В чём проблема-то?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
11.01.2020, 22:24
    #39912885
hVostt
hVostt
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
да, но в п.1 и как получается практически по умолчанию в Blazor|ASP.NET проекте с момента регистрации юзера все делается автоматом и он получает доступ к сайту.

Я вот о чем: что-то бы сделать после того, как юзер подтвердил емейл, например, создавать account локнутым, и админ должен руками анлокнуть.Те чтобы окончательное решение принимал админ.


Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 00:20
    #39912904
stenford
stenford
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин

2. Юзер сам не регистрируется, юзеров регистрирует админ, но емейл подтверждения приходит юзеру и т.д.

Мне больше подходит вариант(2).

Т.е. если на сайте есть "чувствительные" данные, которые не должны быть доступны случайным юзерам,
то в случае (1) некий враг-юзер регистрируется, автоматически ему шлется емейл, он подтверждает и данные доступны.

если это корпоративная система, то юзеры в ней сами не регистрируются, их учетки с дефолтным паролем создает админ, который юзеры потом меняют
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 09:47
    #39912939
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Дмитрий Мух
Ролг Хупин
пропущено...


ну, или создавать в какой-то роли типа "Странные", которая не имеет доступа к данным,
а админ потом руками передвигает юзера в роль "Юзеры"
К чему же такому имеет доступ пользователь после регистрации? К данным других пользователей что-ли? В чём проблема-то?


Именно так, сама задача в этом: работа с данными юзеров, персональными и другими. Потому и вопрос.
База сейчас в туче. Клиент - старый винформс, там админ создает юзеров.
Т.е. любой юзер, имеющий доступ к данным - ответственность админа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 09:48
    #39912940
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
hVostt
Ролг Хупин
да, но в п.1 и как получается практически по умолчанию в Blazor|ASP.NET проекте с момента регистрации юзера все делается автоматом и он получает доступ к сайту.

Я вот о чем: что-то бы сделать после того, как юзер подтвердил емейл, например, создавать account локнутым, и админ должен руками анлокнуть.Те чтобы окончательное решение принимал админ.


Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.


начало хорошее, как надо, чтобы была не фигня?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 12:23
    #39912954
Дмитрий Мух
Дмитрий Мух
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
Дмитрий Мух
пропущено...
К чему же такому имеет доступ пользователь после регистрации? К данным других пользователей что-ли? В чём проблема-то?


Именно так, сама задача в этом: работа с данными юзеров, персональными и другими. Потому и вопрос.
База сейчас в туче. Клиент - старый винформс, там админ создает юзеров.
Т.е. любой юзер, имеющий доступ к данным - ответственность админа.

Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

А потом уже и прикрутите регистрацию.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 12:27
    #39912955
Дмитрий Мух
Дмитрий Мух
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
hVostt
пропущено...


Фигню какую-то изобретаете. А потом сами будете страдать и те, кто за вами исправлять ваш косяк.


начало хорошее, как надо, чтобы была не фигня?
Вообще не делать пока регистрацию.
Сделайте уже веб-приложение, к которому имеют доступ существующие пользователи, с тему функциями, что им нужны.

У заказчика сколько там пользователей в месяц новых? Пяток-то хоть наберётся?
На мой взгляд странно у вас приоритеты расставленны: тратите время на всякие ДБ хелперы и прочую фигню.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 19:56
    #39913017
hVostt
hVostt
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
начало хорошее, как надо, чтобы была не фигня?


Обычно всё это выясняется до разработки. Как надо, как хочет бизнес. Как будет удобно пользователям. Какие роли имеются, характер данных, которые требуется защищать.

Не важно, каким образом пользователи появляются в системе, сами регистрируются или их заводит админ, в системе должны быть предусмотрены права, которые может выдать пользователю уполномоченное лицо, тот же админ к примеру. Таким образом, вы с одной стороны обеспечите вопрос контроля, с другой расширяемость.

Так как количество ролей может быть расширено в дальнейшем, с разными правами.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 20:25
    #39913025
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Дмитрий Мух
Ролг Хупин
пропущено...


Именно так, сама задача в этом: работа с данными юзеров, персональными и другими. Потому и вопрос.
База сейчас в туче. Клиент - старый винформс, там админ создает юзеров.
Т.е. любой юзер, имеющий доступ к данным - ответственность админа.

1. Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

2. А потом уже и прикрутите регистрацию .


1. не совсем подходящий пример, я и после регистрации не имею доступ к данным юзеров, это разные задачи.
Здесбь другой подход, как раз обратный, регистрироваться может кто-угодно, но забанят, если, например, юзер будет посылать всех на юх.
А в моем случае - допустить к данным юзеров того, кто сам зарегистрировался - стремно.

2. да, понял, логично,
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 21:27
    #39913035
Дмитрий Мух
Дмитрий Мух
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
Дмитрий Мух
пропущено...

1. Вот вы зарегистрирогвались на SQL.ru вы имеете доступ к чужим данным?
Только ограниченный: на просмотр того, что разрешено. Но права модератора вам могут быть назначены.

Советую обсудить этот вопрос с заказчиком. По идее регистрация вообще не горит.
Админ может также создавать пользователей, а они уже логиниться через веб-приложение.

2. А потом уже и прикрутите регистрацию .


1. не совсем подходящий пример
Пример состоит в том, что права просто так не раздаются.
И уж тем более тупо при регистрации.

Думаю и у вашего заказчика кому попало доступа к чужим данным не дают.
И прежде чем мутить какие-то там регистрации, советую выяснить то, кому, как, когда и зачем раздают логины сейчас.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 23:33
    #39913055
ViPRos
ViPRos
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Дмитрий Мух,

он ж играется, портфолио создает :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.01.2020, 23:57
    #39913057
ВМоисеев
ВМоисеев
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
>hVostt, сегодня, 19:56 https://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1321103&msg=22057561][22057561]
>...в системе должны быть предусмотрены права, которые может выдать пользователю уполномоченное лицо, тот же админ к примеру...
<пришлось столкнуться с ситуацией, когда уполномоченное лицо выдает права конкретному пользователю для конкретного приложения
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.01.2020, 17:10
    #39913322
Ролг Хупин
Ролг Хупин
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
ViPRos
Дмитрий Мух,

он ж играется, портфолио создает :)



не надо наговаривать, это реальная задача, я пытаюсь пробиться через потемки недопонимания, моего в теме. ;-)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.01.2020, 20:15
    #39913376
Изопропил
Изопропил
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Register+Login: разные подходы для защиты данных?
Ролг Хупин
А в моем случае - допустить к данным юзеров того, кто сам зарегистрировался - стремно.

Зачем доступ сразу давать?

пусть регистрятся сколько угодно,
Только бесправными.
Совсем.

А разрешения на что либо кроме логона - админ выдаст
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Register+Login: разные подходы для защиты данных? / 19 сообщений из 19, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 291ms
Закрыть
start [/forum/topic.php?fid=18&mobile=1&tid=1354811]:
 0ms
get settings:
 10ms
get forum list:
 16ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 177ms
get topic data:
 12ms
get forum data:
 2ms
get page messages:
 51ms
get tp. blocked users:
 1ms
others: 14ms
total:  291ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]