powered by simpleCommunicator - 2.0.30     © 2024 Programmizd 02
Map
Форумы / Java [игнор отключен] [закрыт для гостей] / Авойд анонимного юзера
25 сообщений из 33, страница 1 из 2
Авойд анонимного юзера
    #40061377
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Всем привет- вопрос чисто по интересу
Вводные данные-
есть система- которая что то там делает и она идентифицирует юзера ( судя по всему там образуется сессия)
далее юзер что то там делает и выходит
важно понимать что юзер никак не авторизован- ему приходит ссылка - по перехожу которой образуется пункт 1
в чем проблема
по бизнес логике - юзер который один раз сходил по этой ссылке - больше по ней сходить не должен( тут есть нюансы- в системе есть флаг комлпит/некомлит)
тоесть если чел зашел и у него флаг комплит - мы его должны отфутболить - и то происходит- до тех пор,пока юзер не открввает ссылку в анонимном режиме того же хрома( тем самым ломается бизнес логика-один человек одна ссылка)
собственно я только что эту уязвимость обнаружил и хочется понять есть ли реальные способы борьбы с этим?
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061378
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
небольшое дополнение,юзер не сможет больше пройти по ссылке в текущей верссии приложения- так как сессия будет таже ( судя по всему)
но вот если открыть анонимное окно - то можно по этой ссылке ходить сколько душе угодно
вопрос как это запретиить,учитывая тот факт,что клиенты ,переходящие по ссылке никак в системе не авторизованы
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061379
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
тоесть по факту система должна понять - что человек который только что открыл ссылку и что то там сделал и человек ,который открыл ту же ссылку ,но в режиме инкогнито - один и тот же юзер( важно понимать что в системе нет юзеров,судя по всему все пляешт от сессии)
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061380
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
тоесть по большому счету я хотел услышать от профи такой ответ - насколько это нормальное поведение системы
какие варинты решение есть ,если это поведение не нормально
или же мы должны анонимайзеры воспринимать как побочный эффект
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061396
забыл ник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79
тоесть по большому счету я хотел услышать от профи такой ответ - насколько это нормальное поведение системы
какие варинты решение есть ,если это поведение не нормально
или же мы должны анонимайзеры воспринимать как побочный эффект

Ну с таким умением формулировать вопросы тебе до мидла как пешком до луны. Понять что делает система ты не можешь, но думаешь мы тебе поможем. Если ссылка должна отрабатывать один раз, ты там что кстати делаешь фичу сменить пароль? Почему так сразу и не сказать?
Так вот, именно для смены пароля наверное есть что-то готовое в том же спринге, ну допустим это что-то другое, тогда нормальный человек сделает так -
1) по некому событию генерируется токен или ууид и сохраняется в базу
2) генерируется Линка с этим токеном
3) при переходе по Линке из параметров реквеста берется токен и ищется в базе, если есть - то пускаем дальше и удаляем токен из базы, если токена нет - значит кто-то уже использовал, значит даём отлуп. Что тут сложного?
Хотя это Стас, потом окажется что у них в супер банке такой подход ещё во время половцев запретили. А на самом деле и ТЗ никакого не было и тимлид не в курсе что Стас страдает хернёй и получает зарплату за просиживание штанов
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061404
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79,
Ты когда изучишь Hello world штатная система аутентификации?
Год прошел.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061406
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Я-бы предложил другой алгоритм. Одноразовая сессия живет 1 минуту после активации. После этого - автоматом
закрывается. 1-й минуты достаточно чтобы выкачать все содержимое.

Запретить пользователю использовать много браузеров и режимы инкогнито - принципиально невозможно.
Пользователь - хозяин локального софта и имеет техническую возможность делать все что угодно. В том
числе и делать дамп сетевого трафика и наблюдать все http-интеракции в dev-mode.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061408
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Непонятно, что есть "ссылка" и как пользователь ее получает. Если например из спам рассылки, то достаточно делать уникальные ссылки для каждого пользователя.

IMHO
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061425
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Режим инкогнито существует, чтобы нельзя было отличить два браузера одного пользователя от двух браузеров двух разных пользователей.

P.S.
Если что, то это могут быть два разных пользователя в двух разных сеансах на одном хосте.
RDP-сервер или простое "Сменить пользователя", как пример.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061464
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
забыл ник
asv79
тоесть по большому счету я хотел услышать от профи такой ответ - насколько это нормальное поведение системы
какие варинты решение есть ,если это поведение не нормально
или же мы должны анонимайзеры воспринимать как побочный эффект

Ну с таким умением формулировать вопросы тебе до мидла как пешком до луны. Понять что делает система ты не можешь, но думаешь мы тебе поможем. Если ссылка должна отрабатывать один раз, ты там что кстати делаешь фичу сменить пароль? Почему так сразу и не сказать?
Так вот, именно для смены пароля наверное есть что-то готовое в том же спринге, ну допустим это что-то другое, тогда нормальный человек сделает так -
1) по некому событию генерируется токен или ууид и сохраняется в базу
2) генерируется Линка с этим токеном
3) при переходе по Линке из параметров реквеста берется токен и ищется в базе, если есть - то пускаем дальше и удаляем токен из базы, если токена нет - значит кто-то уже использовал, значит даём отлуп. Что тут сложного?
Хотя это Стас, потом окажется что у них в супер банке такой подход ещё во время половцев запретили. А на самом деле и ТЗ никакого не было и тимлид не в курсе что Стас страдает хернёй и получает зарплату за просиживание штанов

давай по пунктам тебе отвечу,чтобы ты немного остудил свой пыл)
1.я прекрасно понимаю что делает система- просто тут этого писать по понятным причинам я не могу- так только в общих словах ,если ты этого не понял - ну извини.
2.Нет это не смена пароля- есть некий пул ссылок(откуда они берутся не важно) - клиент получает оттуда одну из них - далее переходит по ней ,в системе происходит обработка бизнес логики и на этом все.
3.То что ты описал в 3х пунктах - мне нравится- единственно ,что я бы не стал использовать в качестве истоника правды бд- а что нить типо кеша ( редис,хелзел) но тут не уверен насколько это так же правильно
4.Да ты прав, такого ТЗ нет и я чисто для себе интересуюсь как можно реализовать подобное ну и по просиживанию штанов - я в отпуске - так что опять мимо)
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061465
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
asv79,
Ты когда изучишь Hello world штатная система аутентификации?
Год прошел.

Ты уже 5 лет не можешь осознать ,что есть такие сервисы ,которые никак не идентифицируют часть тех ,кто взаимодейтсвует с системой.
Для тебе можно другими словами описать - ты пришел в церковь исповедоться- и сидишь в кабинке,и что то вещаешь священнику- по факту для него ты иногнито,но он вкурсе твоей проблемы - ферштейн?))
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061467
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
mayton
Я-бы предложил другой алгоритм. Одноразовая сессия живет 1 минуту после активации. После этого - автоматом
закрывается. 1-й минуты достаточно чтобы выкачать все содержимое.

Запретить пользователю использовать много браузеров и режимы инкогнито - принципиально невозможно.
Пользователь - хозяин локального софта и имеет техническую возможность делать все что угодно. В том
числе и делать дамп сетевого трафика и наблюдать все http-интеракции в dev-mode.

суть перехода по ссылке - набор неких действий- которые никак не ограничены по времени - тоесть,пока действие не закончено - ссылка будет приводить на то состоние в котором оно было в последний раз после взаимодейтсвия
важно чтобы после того как все действия были произведены не было возможности эти действия повторить еще раз пройдя по той же ссылке например в режиме инкогнито

Но как я выше и сказал это не задача и не БТ,а собственные ресерчи для повышения кругозора,так что тут можно просто порассуждать на эту тему не вдаваясь в конкретные реализации
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061469
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
Непонятно, что есть "ссылка" и как пользователь ее получает. Если например из спам рассылки, то достаточно делать уникальные ссылки для каждого пользователя.

IMHO

а что помешает этому пользователю еще раз пройти по этой ссылке в режиме инкогнито и повторить процесс
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061490
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79
Leonid Kudryavtsev
Непонятно, что есть "ссылка" и как пользователь ее получает. Если например из спам рассылки, то достаточно делать уникальные ссылки для каждого пользователя.

IMHO

а что помешает этому пользователю еще раз пройти по этой ссылке в режиме инкогнито и повторить процесс


Запоминать уже посещенные ссылки. Инкогнито или нет - уже никак не поможет
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061492
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79
mayton
Я-бы предложил другой алгоритм. Одноразовая сессия живет 1 минуту после активации. После этого - автоматом
закрывается. 1-й минуты достаточно чтобы выкачать все содержимое.

Запретить пользователю использовать много браузеров и режимы инкогнито - принципиально невозможно.
Пользователь - хозяин локального софта и имеет техническую возможность делать все что угодно. В том
числе и делать дамп сетевого трафика и наблюдать все http-интеракции в dev-mode.

суть перехода по ссылке - набор неких действий- которые никак не ограничены по времени - тоесть,пока действие не закончено - ссылка будет приводить на то состоние в котором оно было в последний раз после взаимодейтсвия
важно чтобы после того как все действия были произведены не было возможности эти действия повторить еще раз пройдя по той же ссылке например в режиме инкогнито

Но как я выше и сказал это не задача и не БТ,а собственные ресерчи для повышения кругозора,так что тут можно просто порассуждать на эту тему не вдаваясь в конкретные реализации

Ну делай. В чем проблема-то. Сброс паролей в соц-сетях так и происходит. Тебе высылают на почту линку
которая действует 1 сутки.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061554
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79,

>Ты уже 5 лет не можешь осознать
= как это относится что ты ни разу не писал то что писали все мемберы практически?
Это букварь профи, и не важно что там петро кушает на завтрак)
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061559
Nixic
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Не вижу проблему.
1. храним уникальные ссылки с флагом посещено/не посещено.
2. при переходе открываем сессию, и сразу ставим флаг. (или не сразу)
3. юзер что-то там поделал, перезайти уже не сможет.

на шаге 2 можно флаг ставить не при открытии, а при выполнении юзером какого-либо действия.

И это нормально, что юзер открыл в 10ти браузерах одну ссылку (и получил столько же сессий), которую юзер или сервис ещё не деактивировал.

upd: если открыто 10 сессий, юзер в одной сделал что-то, что проставило флаг, в других(во всех) сессиях должна быть проверка на каждый запрос юзера, активна ли еще ссылка, если нет, редиректим его куда-то на страницу ошибки или главную или выкидываем ошибку, да что угодно, лишь он дважды ссылку не деактивировал и не смог другие действия выполнять.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061571
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Я бы не делал сброс флага сразу. Опыт подобных систем подсказывает что велика вероятность того что пользователь сделает фальш-клик сначала. Закроет окно. И потом осознав что это кликнет второй раз и сам себя заблокирует.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061603
Фотография asv79
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
asv79
пропущено...

а что помешает этому пользователю еще раз пройти по этой ссылке в режиме инкогнито и повторить процесс


Запоминать уже посещенные ссылки. Инкогнито или нет - уже никак не поможет

ну вот это уже адекватное решение ,насколько оно правильное в условиях высоконагруженного сервиса - уже вопрос другой.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061615
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79,
Ты 10 раз повторил слово юзверь.
Однако само понятие юзверь без АУТЕНТИФИКАЦИИ не существует.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061627
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
asv79,

>Нет это не смена пароля- есть некий пул ссылок(откуда они берутся не важно) - клиент получает оттуда одну из них - далее переходит по ней ,в системе происходит обработка бизнес логики и на этом все.
==
Не клиент, а абстрактный запрос. Так как аутентификации нет.
Образованней надо быть.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061664
Nixic
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp

Образованней надо быть.

будет образней, потребуешь конкретику)) тебе не угодить)
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061674
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Nixic
PetroNotC Sharp

Образованней надо быть.

будет образней, потребуешь конкретику)) тебе не угодить)
Не надо угождать.
"Надо разговаривать. Отстаивать свое мнение инженерными терминами."
Или у тебя есть что возразить на фразу "юзверь запрашивает но анонимно")))?
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061690
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Чего вы так распалились? Автор же пишет - это не бизнесовая задача. А просто учебная.
...
Рейтинг: 0 / 0
Авойд анонимного юзера
    #40061703
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
mayton,
Мы только по теме.)))
...
Рейтинг: 0 / 0
25 сообщений из 33, страница 1 из 2
Форумы / Java [игнор отключен] [закрыт для гостей] / Авойд анонимного юзера
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]