Vlákno názorů k článku
Nette Framework: Přihlašování uživatelů
aprilchild (neregistrovaný)
---.zapcechy.adsl-llu.static.bluetone.cz
19. 5. 2009 0:33
RE: Nette Framework: Přihlašování uživatelů
mozna je lepsi nerozlisovat mezi "uzivatel neexistuje" a "chybne heslo" a schovat je pod jednu hlasku, o malinko se zvysi prah bezpecnosti. podporuje Nette i sliding expiration?
aura:74
19. 5. 2009 0:40
RE: Nette Framework: Přihlašování uživatelů
Je to sice pravda, ale pekně mě štve, když si nemůžu vzpomenout na své přihlašovací údaje na nějakém serveru a on mi to právě tímto způsobem neusnadní ;)
ad sliding expiration: ano, používá se.
ad sliding expiration: ano, používá se.
aprilchild (neregistrovaný)
---.zapcechy.adsl-llu.static.bluetone.cz
19. 5. 2009 0:52
RE: Nette Framework: Přihlašování uživatelů
mne to stve taky :) ale stejne jsem radsi za tuhle trochu "security through obscurity", byt je to casto spise o lenosti programatora s osetrovanim stavu nez bezpecnosti (specialne kdyz mi pote poslou mailem moje stare heslo ;).
kazdopadne moc pekna prace s Nette. skoda jen, ze neni cca 2004, ale uznavam, ze to o moc driv diky samotnemu PHP (resp. bastlu, co tehdy byl) neslo. na druhou stranu, kdyz uz nekdo ve 14-ti (nebo v kolika dneska juniori zacinaji) ma zacit s PHP, at je to s Nette a ne nicim jinym:).
kazdopadne moc pekna prace s Nette. skoda jen, ze neni cca 2004, ale uznavam, ze to o moc driv diky samotnemu PHP (resp. bastlu, co tehdy byl) neslo. na druhou stranu, kdyz uz nekdo ve 14-ti (nebo v kolika dneska juniori zacinaji) ma zacit s PHP, at je to s Nette a ne nicim jinym:).
aura:74
19. 5. 2009 2:50
RE: Nette Framework: Přihlašování uživatelů
Já souhlasím s Davidem, minimálně po stránce uživatelské je to noční můra, když se někam přihlašuji a píše mi to „nepodařilo se přihlásit“, zatímco já zkouším jiné kombinace hesel a přitom mám špatně samotný login. Tudy, prosím, ne :-).
aura:72
19. 5. 2009 6:42
RE: Nette Framework: Přihlašování uživatelů
To je fakt bezpečnější? S registračním formulářem ani ne - co když tam uživatel zkusí existující jméno? To taky budeme mlžit?
Mastodont (neregistrovaný)
85.132.159.---
19. 5. 2009 7:59
RE: Nette Framework: Přihlašování uživatelů
Z hlediska ochrany proti útokům ano, protože útočník neví, zda netrefil jméno nebo heslo.
aura:72
19. 5. 2009 8:03
RE: Nette Framework: Přihlašování uživatelů
Ale v případě přítomnosti registračního formuláře se to asi dozví velmi snadno...
aura:85
19. 5. 2009 8:04
RE: Nette Framework: Přihlašování uživatelů
Jak píše v6ak, pokud trefu do loginu oznamujeme v registračním formuláři, byly již dveře pootevřeny a nějaká ochrana přihlašovacího formuláře je již zavřít nedokáže.
Mastodont (neregistrovaný)
---.newsfeed.sdlintl.com
19. 5. 2009 11:11
RE: Nette Framework: Přihlašování uživatelů
Omlouvám se, to jsem špatně pochopil - registrace je ovšem něco úplně jiného než přihlašování a kód bude vypadat taky jinak ...
Martin Štěpař (neregistrovaný)
---.net.upc.cz
19. 5. 2009 12:06
RE: Nette Framework: Přihlašování uživatelů
Ano, kód bude vypadat jinak. Jde o to, že: pokud registrační formulář řekne "uživatelské jméno již existuje" je to úplně to samé, jako když přihlašovací formulář řekne "špatně zadané heslo" - v obou případech s jistotou víme, že jméno existuje a je platné. (z čehož logicky plyne, že i při hlášce "přihlášení se nezdařilo" víme, že chyba musí být ve špatně zadaném hesle)
Navíc, informování uživatele lze zpracovat v presenteru, nic nám tedy nebrání v tom, aby model vracel korektní chyby, a my je v presenteru logovali a uživateli zobrazili pouze obecnou chybovou hlášku.
Navíc, informování uživatele lze zpracovat v presenteru, nic nám tedy nebrání v tom, aby model vracel korektní chyby, a my je v presenteru logovali a uživateli zobrazili pouze obecnou chybovou hlášku.
