powered by simpleCommunicator - 2.0.30     © 2024 Programmizd 02
Map
Форумы / Java [игнор отключен] [закрыт для гостей] / безопасть в регистрации в системе
25 сообщений из 43, страница 1 из 2
безопасть в регистрации в системе
    #40090741
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
всем доброго!
по кейсу при регистрации чел сначала вводит свои персональные данные и потом логин пароль вот только эти две моменты в разных окнах происходит, при этом для перехода второе окно введенные данные записываются в БД + не только то что ввел но и собираются из разных источников (ну это не суть), и потом отправляется смс код для подтверждение номера телефона (в этом случае статус пользователя будет РЕГИСТРАЦИЯ_НЕ_ЗАВЕРШЕНА) и после этого осуществляется переход на окно ввода логина пароля...
собственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль?

З.Ы. да можно в сторедже браузера хранить предыдущие введенные данные пользователя и отправить все, но никому не секрет этих данных можно изменить при отправке тогда...
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090742
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
для идентификации существует id сессии.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090743
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
вадя,

веб
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090744
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
почему то думал при удачной завершении первой страницы клиенту отправить некий токен (где время жизни скажем 3 минуты) чтоб тот в хидере отправлял с логином и паролем и по токену нашел кому это принадлежит...
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090745
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,

какая-то странная логика ввода.
почему нельзя все вводить?
ну и после вода каждого поля отправлять введенное на сервер?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090747
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
Почему два окна?
Почему при РЕГИСТРАЦИИ какой то пароль?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090748
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
ну изначально так утвердили
первое окно:
номер персональной карты
номер телефона
эмейл

далее в бэке сбор данных и отправка смс с кодом для верификации введенного номера

первой же окне ввод номера и кнопка далее (для перехода но второе окно)

во второй окне
полученные данные из сервера по персональной карте (это для информации типа все верно или нет чел может посмотреть) и ввод логина и пароли
после кнопка завершение регистрации

и в бэке уже имеющемуся юзеру логин и пароль + изменение статуса на РЕГИСТРИРОВАН
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090750
Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку.
Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД.

Вот тут уже было обсуждение HTTP сессий более детально .
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090751
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Музаффар , регистрация - это добавление нового пользователя в БД. После того как ты ввел все требуемые данные - они просто добавились в БД. В процессе регистрации приложение может еще проверить верный ли email или телефон ввел пользователь, отправляя ему код или ссылку.
Аутентификация (логин) - это определение какой пользователь сейчас находится на странице. Самое простое - пользователь вводит username/password, те сверяются с данными в БД.


все верно но тут как видите данные отправляются порционно, юзер создается юзер обновляется...
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090752
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль.
Так?
Далее ОН САМ меняет пароль когда захочет.
Зачем усложнять? Чтобы дырка в безопасности была?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090754
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
Музаффар,
Смотри. Вы генерируете на быке пароль и регите его в бд + вход его в его профиль.
Так?
Далее ОН САМ меняет пароль когда захочет.
Зачем усложнять? Чтобы дырка в безопасности была?

не совсем
первом окне
Код: plsql
1.
2.
3.
4.
INSERT INTO юзер
(номер_карты, эмейл, номер_телефона, рег_код, статус)
VALUES
(123, блаблабла@мейл.ру, 123456789, 1111, РЕГИСТРАЦИЯ_НЕ_ЗАВЕРШЕНА)



только при завершении этапа регистрации

Код: plsql
1.
2.
3.
4.
5.
UPDATE юзер
SET логин = блабла,
    пароль = блабла,
    статус = РЕГИСТРИРОВАН
WHERE номер_карты = 123;



ну если захочет то когда зайдет в систему может менять пароль но сейчас речь не об этом.

в том то и дело чтоб избежать от дыр, обратился в форум.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090755
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,

у тебя есть idсессии . вот к нему и привяжи все параметры
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090756
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
Ты не понял?
Одна дыра когда ты делаешь лишние действия. Можно без них? Можно!
Вторая дыра переход по окнам. Можно без них? Можно карл!
Итого минус один бал за окна и минус один за ввод логина.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090757
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
вадя
Музаффар,

у тебя есть idсессии . вот к нему и привяжи все параметры
да и в куках можно.
То есть работать будет. Но безопасность ниже.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090758
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp,

со всеми этими утверждениями я согласен, но по ТЗ так должно быть.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090759
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
попробуй обосновать дыру в тз
может изменят тз
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090760
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар
PetroNotC Sharp,

со всеми этими утверждениями я согласен, но по ТЗ так должно быть.

Уже кое что.
Хотя бы понимание есть.
Как вы потом в работе отличаете юзверей при переходе по окнам?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090761
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp,

в смысле, то кому принадлежит тот или иной логин/пароль? или то то другое подразумевается?

вадя, возможно, я об этом говорил пока тишина
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090762
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
Ну, у тебя вопрос выше -
авторсобственно вопрос когда из второго окна отправляем логин пароль как определить к какому пользователю принадлежит этот логин пароль?
После регистрации как определяете? Из пятого окна что ходит Петров?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090763
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Получается так:
- более безопасно без переходов так как до аутентификации механизм безопасного перехода по окнам еще не создан. Непонятно кто ходит по окнам.
- если плюнуть на безопасность то маркер любой - куки/id session/в урле дописать что это вася и т.д.
Удачи!
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090765
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp,

как я понимаю, после верификации телефона, в браузер отправится номер_карты, а браузер откроет второе окно, далее логин/пароль + номер_карты отправляет в бэк тот уже по номеру карты идентифицирует кому принадлежит логин/пароль


З.Ы. понимаю это дыра, типа можно при отправке логина/пароля + (можно другой номер_карты) и тогда получится у кого та логин/пароль меняется...


вот изза этой возможной дыры писал сюда
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090766
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
Есть всего два, три метода в мире при переходах по окнам
- сессия сервера
- токен в хидере
- токен в урле
- токен в куке
Все вроде.
Мы даже не знаем что у тебя применяется.
Второй момент почему либа не используется?
Все руками?
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090775
Музаффар
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp,

так вышеперечисленные метода актуальны после авторизации как я понимаю правильно?

когда залогинился все через jwt идет но тут до этого же
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090789
вадя
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар,
при регистрации самое удобное, когда юзер вводит все параметры в одной странице. при этом при вводе телефона, мыла, логина происходит их отправка на сервер для проверки на дубли.
после ввода отправка на сервер команды о готовности данных, сервер отправляет смс, юзер вводит код из смс и только тогда всё отправляется на сервер.
если смс не совпадает возврат клиенту....
при этом снимаются все твои проблемы.
...
Рейтинг: 0 / 0
безопасть в регистрации в системе
    #40090793
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Музаффар
PetroNotC Sharp,

так вышеперечисленные метода актуальны после авторизации как я понимаю правильно?

когда залогинился все через jwt идет но тут до этого же
да. Ты верно понял.
Теперь при переходах ты должен придумать свой токен что чревато и велосипедно
...
Рейтинг: 0 / 0
25 сообщений из 43, страница 1 из 2
Форумы / Java [игнор отключен] [закрыт для гостей] / безопасть в регистрации в системе
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]