forum.opennet.ru

Составление сообщения

Исходное сообщение

"Google и Apple присоединились к блокировке сертификатов WoSi..."
Отправлено XXXasd, 01-Ноя-16 12:26

> 1. С его помощью ты не сделаешь нормальную авторизацию TLS если у
> тебя нет своего УД, или внешних (белых) адресов на каждого клиента.
всё правильно.
говнотехнологии не нужны (это я про вашу "мега секъюрную" клиенскую TLS-авторизацию).
больше проблем чем пользы. геморой на пустом месте.
основные (главные) проблемы безопасности, такие как CSRF, XSS, SqlInjection, ClickJacking, SessionHijacking, ... -- через TLS-авторизацию НЕ решаются.
попробуй использовать для авторизации -- логин-пароль (через HTTPS).
я даже разрешаю тебе использовать клиентские localStorage для хранения (на клиентской стороне) особо длинных паролей.. и разрешаю тебе использовать WebCryptoAPI (на той же клиентской стороне) для их шифрования кротким-человеко-понятным паролем пользователя.
и да! авторизация через логин-пароль -- точно также не решает основные (главные) проблемы безопасности -- CSRF, XSS, SqlInjection, ClickJacking, SessionHijacking, ...
зато на порядок проще.

Исходное сообщение
"Google и Apple присоединились к блокировке сертификатов WoSi..." Отправлено XXXasd, 01-Ноя-16 12:26
> 1. С его помощью ты не сделаешь нормальную авторизацию TLS если у > тебя нет своего УД, или внешних (белых) адресов на каждого клиента. всё правильно. говнотехнологии не нужны (это я про вашу "мега секъюрную" клиенскую TLS-авторизацию). больше проблем чем пользы. геморой на пустом месте. основные (главные) проблемы безопасности, такие как CSRF, XSS, SqlInjection, ClickJacking, SessionHijacking, ... -- через TLS-авторизацию НЕ решаются. попробуй использовать для авторизации -- логин-пароль (через HTTPS). я даже разрешаю тебе использовать клиентские localStorage для хранения (на клиентской стороне) особо длинных паролей.. и разрешаю тебе использовать WebCryptoAPI (на той же клиентской стороне) для их шифрования кротким-человеко-понятным паролем пользователя. и да! авторизация через логин-пароль -- точно также не решает основные (главные) проблемы безопасности -- CSRF, XSS, SqlInjection, ClickJacking, SessionHijacking, ... зато на порядок проще.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру