PHP/MySQL | Нужен совет
AdRed
Тема закрыта by
388830670 [!]
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
388830670 [!]
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
RGame, сделаю гибкие настройки авторизации в движке. Привязка айпи, куки, сессии - все настройки в системный файл. Пускай будет такая вот изюминка у движка. "Я знаю как защитить на все 100% аккаунты, но это может не всем понравиться. По-этому предоставлю право выбора владельцу сайта"
________
посл. ред. 14.01.2020 в 15:35; всего 1 раз(а); by 388830670
________
посл. ред. 14.01.2020 в 15:35; всего 1 раз(а); by 388830670
RGame, я на то и создаю цмс, чтобы были гибкие настройки без хирургического вмешательства в код. С регой уже сделал подобное, разрешенная длина логина, разрешенные языки для логина, уровень сложности пароля, емейл и так далее. Так пусть и авторизация будет с гибкими настройками
________
посл. ред. 14.01.2020 в 15:41; всего 1 раз(а); by 388830670
________
посл. ред. 14.01.2020 в 15:41; всего 1 раз(а); by 388830670
читаешь темы на бумасе, и прям самооценка улетает в небеса)))
388830670, Вот кстати неплохой вопрос, зачем делать кучу ajax запросов и по ajax html гонять?
Почему нормальный интерфейс не использовать и если уже так хочется закос под SPA то просто уже и использовать той-же реакт или vue, а не верстку ajax гонять или про RESTful API не слышал для таких целей?
Просто более чем уверен, что архитектура там ужасная будет
________
посл. ред. 14.01.2020 в 15:43; всего 1 раз(а); by System
System Почему нормальный интерфейс не использовать и если уже так хочется закос под SPA то просто уже и использовать той-же реакт или vue, а не верстку ajax гонять или про RESTful API не слышал для таких целей?
Просто более чем уверен, что архитектура там ужасная будет
________
посл. ред. 14.01.2020 в 15:43; всего 1 раз(а); by System
388830670, А битрикс если что уже несколько лет вылизывают, а работать много кто не хочет на нем ибо говнокодеры создали проекты, маштабировали, а потом это с рук в руки передается, если брать чистую разработку используя его, то вполне неплохой движок с хорошей защитой =)
ZnTor (14.01.2020 в 15:08)
На работе стоит пк, с него успешно авторизовались. Один из сотрудников решил воспользоваться вашим пк в ваше отсутствие для не очень положительных для вас целей. Суть в том что бы избежать какое либо проникание в акаунт постороним лицам, или это я не правильно понял?
На работе стоит пк, с него успешно авторизовались. Один из сотрудников решил воспользоваться вашим пк в ваше отсутствие для не очень положительных для вас целей. Суть в том что бы избежать какое либо проникание в акаунт постороним лицам, или это я не правильно понял?
Не, тут другая логика. Проверка не пытаются угнать у нас аккаунт.
Пример: Ты автаритизируешься постоянно на одном диапазоне IP, все нормально. И тут раз, приходит авторетизация с другого города/района/области. Мы проверяем, ты ли это. Да ты, ты ввел кодовое слово и мы больше тебя не беспокоим, ты просто поехал в гости или по работе и так далее. Не ввел кодовое слово, но пытаешься авторетизироватся с другой области, значит кто то получил данные и мы закрыли доступ.
388830670 (14.01.2020 в 15:12)
TuT, и с чего ты решил, что цмс из-за этого будет говном, когда и так и сяк, даже на самый крайний случай я могу сделать в панели управления ядром настройку авторизации. А там мастер сам выберет, что для него лучше , привязка данных, или опираться на сессию с куки
TuT, и с чего ты решил, что цмс из-за этого будет говном, когда и так и сяк, даже на самый крайний случай я могу сделать в панели управления ядром настройку авторизации. А там мастер сам выберет, что для него лучше , привязка данных, или опираться на сессию с куки
Вот я выберу сессии, ну и чем они помогут, в плане безопасности? Суть, логика, задача в чем, для создания и сохранение этого хеша?
388830670 (14.01.2020 в 15:34)
RGame, сделаю гибкие настройки авторизации в движке. Привязка айпи, куки, сессии - все настройки в системный файл. Пускай будет такая вот изюминка у движка. "Я знаю как защитить на все 100% аккаунты, но это может не всем понравиться. По-этому предоставлю право выбора владельцу сайта"
RGame, сделаю гибкие настройки авторизации в движке. Привязка айпи, куки, сессии - все настройки в системный файл. Пускай будет такая вот изюминка у движка. "Я знаю как защитить на все 100% аккаунты, но это может не всем понравиться. По-этому предоставлю право выбора владельцу сайта"
Сбербанку напиши, а то они миллионы долларов в безопасность вкладывают
за исключением пары человек, здесь люди даже не понимают, что можно просто украсть куки у человека, и войти в его аккаунт... зато все программисты, cms пишут свои
Банги, Ну я предложил небольшой вариант решения данной проблемы. Но как видишь автор утверждает, что это полный бред, нужно записать хеш из сессии и это обезопасит аккаунт.