Clicky

Skocz do zawartości


Zdjęcie
* * * * * 1 głosy

[Bezpieczeństwo] Hasła do zewnętrznych aplikacji

5 odpowiedzi w tym temacie

  • Zaloguj się, aby dodać odpowiedź

#1 nrm

nrm

    webmastah

  • Admin
  • 1106 postów
  • Skąd:Katowice

Napisano 14 grudzień 2013 - 13:31

Szukam inspiracji do rozwiązania takiego problemu:

 

użytkownik naszego serwisu musi podać login/hasło do jakiejś aplikacji/usługi ZEWNĘTRZNEJ (nie ma żadnych api, oauth itp. chodzi tylko o te dane dostępowe, np. FTP) do wykorzystania danej usługi.

 

Jak byście rozwiązali kwestie bezpieczeństwa? Gdzie przechowywać hasła, w jaki sposób się do nich dostać i jak bardzo miało by to zwiększyć poziom bezpieczeństwa?



#2 Grzegorz Kowalski

Grzegorz Kowalski

    Początkujący

  • Użytkownik
  • Pip
  • 6 postów
  • Skąd:Warszawa

Napisano 14 grudzień 2013 - 17:00

Zanim zasugeruję jakieś rozwiazanie, mam pytanie: w jakim celu użytkownik waszego serwisu przekazuje wam hasła do usługi zewnętrznej? Czy po to, aby później serwis automatycznie łączył się z usługą zewnętrzną, czy po to, aby na żądanie użytkownika serwis w danej chwili dokonał takiego połączenia bez konieczności pytania się o login/hasło?


  • nrm lubi to

#3 thejw23

thejw23

    Senior Mastah

  • Webmastahy
  • PipPipPip
  • 824 postów

Napisano 14 grudzień 2013 - 17:21

może coś takiego http://www.warpcondu...el-256-and-cbc/ ?

 

Temat trudny, dobrego wyjścia nie ma, kwestia mniejszego zła i może rozbicia pewnych rzeczy. Może algorytm szyfrujący/deszyfrujący na osobnym serwerze jako api z kluczem autoryzacji i weryfikacją ip z którego przychodzą requesty? wtedy nawet jak ktoś zgra bazę i pliki to nic mu to nie da. nie ma algorytmu, nie ma salt itp rzeczy. Wiadomo, kwestia czasu i motywacji aby ktoś to złamał - rozbijając rzeczy skutecznie to utrudniamu, nawet kopia plików nic nie da. A ew. włamanie na serwera z API to też kolejna trudność.


  • nrm lubi to

#4 nrm

nrm

    webmastah

  • Admin
  • 1106 postów
  • Skąd:Katowice

Napisano 14 grudzień 2013 - 20:25

@Grzegorz: a to jakaś różnica, której w tej chwili nie dostrzegam?



#5 Grzegorz Kowalski

Grzegorz Kowalski

    Początkujący

  • Użytkownik
  • Pip
  • 6 postów
  • Skąd:Warszawa

Napisano 15 grudzień 2013 - 22:31

@nrm, tak, jest. Przy realizowaniu operacji na żądanie użytkownika, można ustalić tzw. master password, które będzie szyfrować wszystkie hasła zmagazynowane w serwisie, ale znać je będzie tylko użytkownik i będzie musiał je wprowadzić przy każdym żadaniu. To model podobny jak w przypadku aplikacji dekstopowych takich jak np. KeePass albo Opera. W takim modelu mniej jest możliwości złamania zabezpieczeń niż przy takim rozwiązaniu, że serwis gdzieś w ukryciu trzyma klucz do zaszfryowanych haseł, bo taki klucz jest zawsze tylko w rękach użytkownika. Wadą tego rozwiązania jest niestety to, że użytkownika zawsze trzeba pytać o to hasło.

 

Natomiast przy realizacji operacji automatycznych można robić np. tak jak opisał to mój przedmówca. Na StackOverflow znajdziesz wiele przykładów tego, co moża zrobić w takich okolicznościach - podawane są nawet gotowe rozwiązania w kodzie.



#6 nrm

nrm

    webmastah

  • Admin
  • 1106 postów
  • Skąd:Katowice

Napisano 16 grudzień 2013 - 10:20

Dzięki, poszukam co tam ciekawego radzą. W grę wchodzi tylko druga opcja - user nie będzie ciągle wracał do serwisu i wpisywał hasła.






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych