ФорумСообществоФлейм → Безопасность VS Комфорт

Безопасность VS Комфорт

  • fgets

    Сообщения: 1099 Репутация: N Группа: Кто попало

    Spritz 17 февраля 2011 г. 7:11

    Хотелось бы поговорить с вами на эту тему. Все мы знаем что безопасность приложения при выше всего. Но, чем больше наращивается безопасность - тем менее удобным становится приложение. Следующие факторы удобства многопользовательского веб-сайта я отмечу:

    1. OpenID авторизация, социальная авторизация
    Большинство из нас так или иначе имеет свой OpenID аккаунт где угодно, так же у многих есть аккаунты социальных сетей. Использовать кроссервисные авторизации удобно, но лучше правда не использовать js-реализации для этого, так как в многих браузерах (в т.ч. мобильных Opera Mini и тд) будут глюки или вовсе авторизация не пройдёт. Раздражает когда сайт после авторизации OpenID/Social требует дополнить информацию о себе (такую как email например, или пароль). Делать этого не стоит (кинопоиску конечно похуй, его админы не понимают смысл OpenID) - не стоит использовать OpenID как источник заполнения профильной информации для упрощения регистрации. Совмещать OpenID с формальными аккаунтами проблемно и не этично. На формальном аккаунте может быть привязка OpenID (как в VBulletIn 4), для упрощения авторизации. В таком случае будет смотрется еще как-то, но уж лучше тогда сделать чисто OpenID систему авторизаций, чтобы не совмещать OpenID ключи и не делать регистраций. 1 OpenID = 1 аккаунт, без email, без пароля, всё остальное на усмотрение пользователя. Такую реализацию многопользовательского приложения я считаю очень успешной, так как и спам боты не пройдут и от юзера не потребуется мучительная регистрация…

    2. Постоянная авторизация (не слетает годами)
    Иногда для более успешной безопасности мы ставим разные пароли на разные сайты. И так как мы нигде их не храним (если вы храните то вам повезло) то часто забываем свой пароль к тому или иному ресурсу (я держу в голове порядка 10 паролей, но всё же часто пользуюсь системами восстановления доступа). В такие моменты слетевшая авторизация кажется адом. Иногда она может разозлить даже если вы помните свой пароль, но вам тупо лень его вводить. Поэтому я считаю нужно делать постоянную авторизацию всегда, и продлевать куки если их срок подходит к концу. Конечно это удар по безопасности для многих, но чем бы дитя не тешилась лишь бы не вешалась…

    3. Пароль устанавливаемый сайтом/Манипуляции с паролем пользователя/Просьба сменить пароль/Поставить пароль сложнее
    Когда то на ящике у меня стоял пароль 1111, и меня не ебало сложный он или нет, я сам его поставил и я отлично его помнил. Никто меня не взламывал - всем на меня и мой ящик было похуй. Я считаю не стоит нагружать пользователя своими парольными законами. Если уж ставить пароль то пускай пользователь сам выбирает его. Одна моя подруга например все время ставила везде пароль 02, незнаю как сейчас но, тогда ей было пофигу, думаю что и сейчас пофигу…
    Дико раздражает когда сайт просит поменять пароль по истечению некоторого времени "для безопасности". В частности phpbb3 обладает таким функционалом. Не советую включать данную функцию даже если вы безумно любите безопасность. Лучше пользуйтесь презервативами.

    Я считаю что превыше всего не безопасность а комфорт, а ещё лучше когда и безопасность и комфорт совмещены.
  • Givi

    Сообщения: 2284 Репутация: N Группа: Адекваты

    Spritz 17 февраля 2011 г. 10:51, спустя 3 часа 39 минут 52 секунды

    fgets, пункт 2 - как ты хочешь продлевать куки, если их срок подходит до конца, а юзера с его куками, следовательно, нет в сети?! ты хочешь использовать технику вуду или телеграмму юзеру отправлять на почту, пусть в файле куков дату изменит? это я к тому, чтоб ты узнал что такое куки и как они вообще должны работать/устанавливаться, ибо каждый раз при загрузке страницы куки должны "продлеваться" на время установленной администратором/юзером/сервером сессии. Если юзер за это время не заходит на сайт (не обновит страницу), то сессия "закрывается" и юзеру снова нужно авторизироваться. Так вот эту сессию можно задавать по желанию :) Но нах не нужно это на всю жизнь. Достаточно месяца.

    пункт 3 - это делается для того чтоб глупые юзеры не ипали после взлома мозги администрации ресурсов, ибо пароль "1111" взламывается значительно проще нежели "huy-11_11". А насчет просбы изменить пароли - это уже зависит от самого проекта. В некоторых случаях это просто таки необходимо.

    В общем, хуйню ты тут предлагаешь, ибо комфорта вообще практически ноль, а вот как раз таки "потеря" безопасности - очь большая.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!