DevProTalk
Strana 1 od 3 1 23 >
Prikažite 40 poruka iz ove teme na jednoj stani

DevProTalk (http://www.devprotalk.com/index.php)
-   Web aplikacije, web servisi i software (http://www.devprotalk.com/forumdisplay.php?f=30)
-   -   tefter app (http://www.devprotalk.com/showthread.php?t=9723)

3banchi 23. 02. 2011. 14:59
tefter app
 
Vidim u medijima da se prica o tefter aplikakciji, pasvord menadzderu kao o jedinstvenoj aplikaciji u svetu.
Jedan od autora je kolega sa foruma I.Cosic, pa bih molio objasnjenje u cemu se aplikacija razlikuje od drugih menadzera i koje su prednosti u odnosu na slicno.
Skontao sam da se app instalira na serveru (da li samo na serveru?) i zanima me da li je u tome eventualna prednost, jedinstvenost i sl.

MorenoArdohain 23. 02. 2011. 17:50
Da budem iskren, ja to ne bih uopste drzao na serveru.

Ako se ne varam, sifre se smestaju u bazu u plain obliku (ili hashovan, ali tako da se originalni password moze povratiti) - kompromitacijom servera dolazi i do kompromitacije svih naloga smestenih unutar tefter applikacije.

Mozda pak gresim, voleo bih da me autori razuvere.

jablan 23. 02. 2011. 17:56
^ Heh, pa moraju da mogu da se povrate jer je to poenta aplikacije valjda - da ti prikaže passworde. :)

BTW, ovo se može delimično rešiti korišćenjem nekog privatnog ključa na klijentskoj strani.

MorenoArdohain 23. 02. 2011. 18:03
Tako je, moraju da se povrate, zato i kazem da snimaju sifre u plain formatu ili kriptovano kljucem (two way hashing). Nadam se da je ovo drugo :)

Kako god, nek se autori jave i kazu nam kako je to izvedeno.

vidak 23. 02. 2011. 18:16
Koji god sistem simetričnog kriptovanja da je primenjen uvek može da se probije. Onog trenutka kada je logika za jedan pass provaljena, provaljen je ceo sistem i tu je kraj. http://j.mp/gjXx33

Druga strana ove priče je što ovakav sistem daje moć administratorima kojoj je teško odolete ali svi ovi aspekti nas udaljavaju od pitanja
Citat:
Originalno napisao 3banchi (Napišite 95751)
... u cemu se aplikacija razlikuje od drugih menadzera i koje su prednosti u odnosu na slicno.
p.s. moram priznati da mi se marketinški pristup zaista veoma mnogo po najviše dopao.

ajankovic 23. 02. 2011. 18:58
Takđe me interesuje kako su uspeli da osposobe fastspring payment za plaćanje usluga? Koliko sam shvatio oni samo dozvoljavaju prodaju elektronskih dobara.

MorenoArdohain 23. 02. 2011. 19:03
@ajankovic Kojih usluga? Prodaje se softver.

mileusna 23. 02. 2011. 19:16
Citat:
Originalno napisao MorenoArdohain (Napišite 95757)
Da budem iskren, ja to ne bih uopste drzao na serveru.
Ako se ne varam TefterApp je softver koji se preuzima i instalira na server, tako da može da bude OK rešenje za localhost.

Ali nek se jave autori pa neka odgovaraju, izgleda da im čajanka sa Ministarkom udarila u glavu pa sad više ne prate forum. ;)

jasmanac 23. 02. 2011. 19:34
Odmah da objasnim da sam svestan toga da postoje ljudi koji su paranoicni i oni manje paranoicni. Ova aplikacija je napravljena za one manje paranoicne :)

Elem, sifre u bazi su enkriptovane kljucem i ono na cemu cemo raditi u buducnosti jeste da taj algoritam unapredimo. Medjutim, tu ima dosta stvari koje treba sagledati tako da ce se ceo taj sistem unapredjivati vremenom.

Sto se tice sigurnosti, aplikacija nije nista manje sigurna nego bilo koji drugi web app. Imamo recimo WordPress gde se login info baze (username/pass/host) cuva u php fajlu. To znaci da ako neko dodje do tog fajla, ode cela baza. Ne poredim nasu aplikaciju sa WP, daleko od toga, ali niko ne pravi paranoju od toga.

Sa druge strane, aplikaciju je moguce instalirati u lokalu pa je samim tim maksimalno zasticena. Postoje tu i neke dodatne zastite kao recimo promena naziva system foldera i slicno. Na taj nacin smo pomirili ukuse onih manje i vise paranoicnih ljudi :)

Tako da, svesni smo da je ovo tricky topic ali smo takodje svesni cinjenice da postoji previse neopravdane paranoje u vremenu kada me online servisi poznaju bolje nego rodjena majka. Iz tog razloga nisam zeleo da postavljam temu na forumima da ne bismo ulazili u diskusije koje nisu konstruktivne. Ali posto je tema vec otvorena rado joj se pridruzujemo samo da ostane konstruktivna :)

jablan 23. 02. 2011. 19:56
Heh, ako ste hteli da pravite aplikaciju za manje paranoične ljude, onda ste odabrali pogrešnu temu. :) Ne mogu da zamislim aplikaciju gde je sigurnost više bitna nego što je ova.

A posebno je činjenica što će aplikacija biti instalirana u lokalu bitna, jer u praksi nećete imati kontrolu ni nad čim osim nad samom aplikacijom - što znači da je jedini način da zaštitite podatke klijenata i njihovih klijenata taj da maksimalno osigurate aplikaciju.

Mislim, sviđa mi se što ste bacili akcenat na buzz i na marketing, ali IMHO tehnologija je ta koja je u ovom slučaju najmanje duplo bitnija od svega ostalog.

[konstruktivan deo]Nema šta tu da se unapređuje algoritam, algoritmi za enkripciju su dobro poznati, i implementirani. Ono što treba da uradite je da ponudite dodatnu sigurnost za one "paranoične", gde ćete koristiti asimetrično kriptovanje kod kojeg će privatni ključ ostati kod korisnika. Takođe, (ako već nemate), morali biste da napravite IP filterovanje i generisanje klijentskih sertifikata.[/konstruktivan deo]

[nekonstruktivan deo]Ja lično nikad ne bih poverio svoj password nekom ko tvrdi da je "svet prepun neopravdane paranoje".[/nekonstruktivan deo]


Vreme je GMT +2. Trenutno vreme je 01:08.
Strana 1 od 3 1 23 >
Prikažite 40 poruka iz ove teme na jednoj stani

Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.

Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.