tefter app
Vidim u medijima da se prica o tefter aplikakciji, pasvord menadzderu kao o jedinstvenoj aplikaciji u svetu.
Jedan od autora je kolega sa foruma I.Cosic, pa bih molio objasnjenje u cemu se aplikacija razlikuje od drugih menadzera i koje su prednosti u odnosu na slicno. Skontao sam da se app instalira na serveru (da li samo na serveru?) i zanima me da li je u tome eventualna prednost, jedinstvenost i sl. |
Da budem iskren, ja to ne bih uopste drzao na serveru.
Ako se ne varam, sifre se smestaju u bazu u plain obliku (ili hashovan, ali tako da se originalni password moze povratiti) - kompromitacijom servera dolazi i do kompromitacije svih naloga smestenih unutar tefter applikacije. Mozda pak gresim, voleo bih da me autori razuvere. |
^ Heh, pa moraju da mogu da se povrate jer je to poenta aplikacije valjda - da ti prikaže passworde. :)
BTW, ovo se može delimično rešiti korišćenjem nekog privatnog ključa na klijentskoj strani. |
Tako je, moraju da se povrate, zato i kazem da snimaju sifre u plain formatu ili kriptovano kljucem (two way hashing). Nadam se da je ovo drugo :)
Kako god, nek se autori jave i kazu nam kako je to izvedeno. |
Koji god sistem simetričnog kriptovanja da je primenjen uvek može da se probije. Onog trenutka kada je logika za jedan pass provaljena, provaljen je ceo sistem i tu je kraj. http://j.mp/gjXx33
Druga strana ove priče je što ovakav sistem daje moć administratorima kojoj je teško odolete ali svi ovi aspekti nas udaljavaju od pitanja Citat:
|
Takđe me interesuje kako su uspeli da osposobe fastspring payment za plaćanje usluga? Koliko sam shvatio oni samo dozvoljavaju prodaju elektronskih dobara.
|
@ajankovic Kojih usluga? Prodaje se softver.
|
Citat:
Ali nek se jave autori pa neka odgovaraju, izgleda da im čajanka sa Ministarkom udarila u glavu pa sad više ne prate forum. ;) |
Odmah da objasnim da sam svestan toga da postoje ljudi koji su paranoicni i oni manje paranoicni. Ova aplikacija je napravljena za one manje paranoicne :)
Elem, sifre u bazi su enkriptovane kljucem i ono na cemu cemo raditi u buducnosti jeste da taj algoritam unapredimo. Medjutim, tu ima dosta stvari koje treba sagledati tako da ce se ceo taj sistem unapredjivati vremenom. Sto se tice sigurnosti, aplikacija nije nista manje sigurna nego bilo koji drugi web app. Imamo recimo WordPress gde se login info baze (username/pass/host) cuva u php fajlu. To znaci da ako neko dodje do tog fajla, ode cela baza. Ne poredim nasu aplikaciju sa WP, daleko od toga, ali niko ne pravi paranoju od toga. Sa druge strane, aplikaciju je moguce instalirati u lokalu pa je samim tim maksimalno zasticena. Postoje tu i neke dodatne zastite kao recimo promena naziva system foldera i slicno. Na taj nacin smo pomirili ukuse onih manje i vise paranoicnih ljudi :) Tako da, svesni smo da je ovo tricky topic ali smo takodje svesni cinjenice da postoji previse neopravdane paranoje u vremenu kada me online servisi poznaju bolje nego rodjena majka. Iz tog razloga nisam zeleo da postavljam temu na forumima da ne bismo ulazili u diskusije koje nisu konstruktivne. Ali posto je tema vec otvorena rado joj se pridruzujemo samo da ostane konstruktivna :) |
Heh, ako ste hteli da pravite aplikaciju za manje paranoične ljude, onda ste odabrali pogrešnu temu. :) Ne mogu da zamislim aplikaciju gde je sigurnost više bitna nego što je ova.
A posebno je činjenica što će aplikacija biti instalirana u lokalu bitna, jer u praksi nećete imati kontrolu ni nad čim osim nad samom aplikacijom - što znači da je jedini način da zaštitite podatke klijenata i njihovih klijenata taj da maksimalno osigurate aplikaciju. Mislim, sviđa mi se što ste bacili akcenat na buzz i na marketing, ali IMHO tehnologija je ta koja je u ovom slučaju najmanje duplo bitnija od svega ostalog. [konstruktivan deo]Nema šta tu da se unapređuje algoritam, algoritmi za enkripciju su dobro poznati, i implementirani. Ono što treba da uradite je da ponudite dodatnu sigurnost za one "paranoične", gde ćete koristiti asimetrično kriptovanje kod kojeg će privatni ključ ostati kod korisnika. Takođe, (ako već nemate), morali biste da napravite IP filterovanje i generisanje klijentskih sertifikata.[/konstruktivan deo] [nekonstruktivan deo]Ja lično nikad ne bih poverio svoj password nekom ko tvrdi da je "svet prepun neopravdane paranoje".[/nekonstruktivan deo] |
Vreme je GMT +2. Trenutno vreme je 06:57. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.