|
tefter app
Vidim u medijima da se prica o tefter aplikakciji, pasvord menadzderu kao o jedinstvenoj aplikaciji u svetu.
Jedan od autora je kolega sa foruma I.Cosic, pa bih molio objasnjenje u cemu se aplikacija razlikuje od drugih menadzera i koje su prednosti u odnosu na slicno. Skontao sam da se app instalira na serveru (da li samo na serveru?) i zanima me da li je u tome eventualna prednost, jedinstvenost i sl. |
Da budem iskren, ja to ne bih uopste drzao na serveru.
Ako se ne varam, sifre se smestaju u bazu u plain obliku (ili hashovan, ali tako da se originalni password moze povratiti) - kompromitacijom servera dolazi i do kompromitacije svih naloga smestenih unutar tefter applikacije. Mozda pak gresim, voleo bih da me autori razuvere. |
^ Heh, pa moraju da mogu da se povrate jer je to poenta aplikacije valjda - da ti prikaže passworde. :)
BTW, ovo se može delimično rešiti korišćenjem nekog privatnog ključa na klijentskoj strani. |
Tako je, moraju da se povrate, zato i kazem da snimaju sifre u plain formatu ili kriptovano kljucem (two way hashing). Nadam se da je ovo drugo :)
Kako god, nek se autori jave i kazu nam kako je to izvedeno. |
Koji god sistem simetričnog kriptovanja da je primenjen uvek može da se probije. Onog trenutka kada je logika za jedan pass provaljena, provaljen je ceo sistem i tu je kraj. http://j.mp/gjXx33
Druga strana ove priče je što ovakav sistem daje moć administratorima kojoj je teško odolete ali svi ovi aspekti nas udaljavaju od pitanja Citat:
|
Takđe me interesuje kako su uspeli da osposobe fastspring payment za plaćanje usluga? Koliko sam shvatio oni samo dozvoljavaju prodaju elektronskih dobara.
|
@ajankovic Kojih usluga? Prodaje se softver.
|
Citat:
Ali nek se jave autori pa neka odgovaraju, izgleda da im čajanka sa Ministarkom udarila u glavu pa sad više ne prate forum. ;) |
Odmah da objasnim da sam svestan toga da postoje ljudi koji su paranoicni i oni manje paranoicni. Ova aplikacija je napravljena za one manje paranoicne :)
Elem, sifre u bazi su enkriptovane kljucem i ono na cemu cemo raditi u buducnosti jeste da taj algoritam unapredimo. Medjutim, tu ima dosta stvari koje treba sagledati tako da ce se ceo taj sistem unapredjivati vremenom. Sto se tice sigurnosti, aplikacija nije nista manje sigurna nego bilo koji drugi web app. Imamo recimo WordPress gde se login info baze (username/pass/host) cuva u php fajlu. To znaci da ako neko dodje do tog fajla, ode cela baza. Ne poredim nasu aplikaciju sa WP, daleko od toga, ali niko ne pravi paranoju od toga. Sa druge strane, aplikaciju je moguce instalirati u lokalu pa je samim tim maksimalno zasticena. Postoje tu i neke dodatne zastite kao recimo promena naziva system foldera i slicno. Na taj nacin smo pomirili ukuse onih manje i vise paranoicnih ljudi :) Tako da, svesni smo da je ovo tricky topic ali smo takodje svesni cinjenice da postoji previse neopravdane paranoje u vremenu kada me online servisi poznaju bolje nego rodjena majka. Iz tog razloga nisam zeleo da postavljam temu na forumima da ne bismo ulazili u diskusije koje nisu konstruktivne. Ali posto je tema vec otvorena rado joj se pridruzujemo samo da ostane konstruktivna :) |
Heh, ako ste hteli da pravite aplikaciju za manje paranoične ljude, onda ste odabrali pogrešnu temu. :) Ne mogu da zamislim aplikaciju gde je sigurnost više bitna nego što je ova.
A posebno je činjenica što će aplikacija biti instalirana u lokalu bitna, jer u praksi nećete imati kontrolu ni nad čim osim nad samom aplikacijom - što znači da je jedini način da zaštitite podatke klijenata i njihovih klijenata taj da maksimalno osigurate aplikaciju. Mislim, sviđa mi se što ste bacili akcenat na buzz i na marketing, ali IMHO tehnologija je ta koja je u ovom slučaju najmanje duplo bitnija od svega ostalog. [konstruktivan deo]Nema šta tu da se unapređuje algoritam, algoritmi za enkripciju su dobro poznati, i implementirani. Ono što treba da uradite je da ponudite dodatnu sigurnost za one "paranoične", gde ćete koristiti asimetrično kriptovanje kod kojeg će privatni ključ ostati kod korisnika. Takođe, (ako već nemate), morali biste da napravite IP filterovanje i generisanje klijentskih sertifikata.[/konstruktivan deo] [nekonstruktivan deo]Ja lično nikad ne bih poverio svoj password nekom ko tvrdi da je "svet prepun neopravdane paranoje".[/nekonstruktivan deo] |
Mene samo zanima po cemu je ovo resenje bolje nego resenje ( i logika ) iza necega kao sto je One Password ?
http://agilewebsolutions.com/onepassword Plus je i pricing malo povoljniji ? |
Citat:
|
Citat:
Iskreno, upalo mi je u oci pozivanje na jedinstveno resenje. Prosao sam malo po vasem sajtu i vidim da je resenje server side, sto jest neobicno ali sam se odmah upitao kako onda upravljati lozinkama na cloud serverima na kojima nema admin pristupa. U tvom odgovoru sada vidim da se app moze instalirati i na klijentu sto je ok. Pa mozda diskusija treba ici u pravcu prednosti i mane jednog i drugog pristupa. U svakom slucaju podrzavam svaciji trud i rad i zelim vam srecu i bericet :1043: |
@3banchi: Daleko od toga da sumnjam u tvoje namere.
|
laptope i telefone kradu, na desktopima se instalira sve i svasta, sire virusi preko usb stickova, dodje rodbina pa se nakaci na facebook i klikce yes na svaki dijalog koji iskoci... hocu reci, cesto stvari koje mislimo da su sigurne jer su nam fizicki "na oku" i nisu bas toliko sigurne...
dobro podesen i updejtovan server, sa firewallom i minimumom servisa uopste ne mora da bude lose mesto za cuvanje tajnih podataka... pretpostavlja da su svi podaci sifrovani kljucem koji korisnik mora da unese prilikom logovanja, sto je uz razumno dugacak kljuc sasvim pristojna zastita, ako niste Julian Assange naravno... btw, ja drzim gomilu podataka na dropboxu, kao i vecina ljudi ovde, a to je sigurno nesigurnije od ovoga (pre svega jer je znatno popularnije, i jer je sve na istom serveru, pa su vece sanse da privuce napad)... |
^ Upravo tako.
|
Ok recimo da je tako ali i dalje nam ostaju klasicni web propusti. Pogledao sam malo demo i odmah sam primetio da koristite odredjene tipove zastite na klijent strani a ne proveravate iste na server strani.
Ovakvi propusti u vecini slucajeva mogu da dovedu do eskalacije privilegija, umetanja malicioznog koda i sl ... |
Citat:
Za one sa jeftinijim ulaznicama, ta prica se kupuje kroz razne eTrust, VeriSign, BBB, i ostale seal-ove... mislim da se tu cela prica o "sigurnosti" zapravo i zavrsava.. |
Ne znam da li postoji jos jedna tema o ovome, ali htio bih iznijeti svoje misljenje. Hype koji se stvorio oko sve price je bio dobar, najavljivalo se nesto veliko, senzacionalno, drugacije. A kad sam vidio.. razocarenje.
Password manager, nista nepoznato, nista nikad vidjeno. Sjecam se da sam negdje procitao 'ono sto nam je svima 20 trebalo i tako dalje.. Na stranu sva prica o sigurnosti ali .. funkcionalnost?? Grafika je odlicno uradjena i aplikacija 'klizi' ali .. 'ispod'?? Mozda nisam dobro pregledao ali stvarno su funkcionalnosti minimalne. Ocekivao sam recimo da imam mogucnost da kliknem na link koji ce me ulogovati sa mojim podacima na servis (koliko sam skontao - ako znas da je rijec o sajtu koji je pogonjen recimo Joomlom-om mozes fino formirati POST url i na taj nacin ulogovati automatski korisnika). Nisam to nashao. |
@misk0: Svako ima prava na svoje misljenje. Postoje ljudi kojima se dopada i oni kojima se ne dopada. To je sasvim normalna stvar.
|
evo vam konkurencije :) http://hostednotes.com/
|
Svaka konkurencija je dobra ;)
|
Ma ovo vam i nije konkurencija...verujem da mnogi poput mene, kad ne vide contact info samo produze dalje :)
|
@jasmanac: Video, video, vi-de-o. Bez toga *mnogo* propustate.
Bilo kakav video walkthrough je dovoljno dobar ako nemate vremena da to uradite BAS kako treba. |
Slazem se za video.
Strpite se jos malo, uveliko radimo i na promo videu, novom sajtu, optimizaciji aplikacije za iPhone i iPad i jos dosta drugih stvari ;) |
| Vreme je GMT +2. Trenutno vreme je 10:52. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.