Československá literární komunita

Tak jako generace autorů před vámi, publikujte svoji psanou tvorbu. Podělte se o svoje názory a sbírejte zpětnou vazbu na svoje díla. Inspirujte se a učte od nejlepších.

Přidejte se

Technické záležitosti serveru - bezpečnost

01. 10. 2007
0
18
2633
Autor
dassler

Zde prosím připisovat názory i navrhovaná řešení týkající se bezpečnosti a zabezpečení serveru a aplikace.
Prosím jen o rozumný přístup, který nebude vyžadovat zabezpečení typu SSL transakcí, PGP klíčů, autorizačních kódů zasílaných na mobilní telefony, abychom nevymýšleli nedobytné trezory na padesát haléřů (obrazně řečeno).

Díky

-d-


18 názorů

Lakrov
05. 10. 2007
Dát tip
> zakázať všetok HTML kód v príspevkoch okrem vybraných tagov... To by mohlo dojít tak daleko, že by nebylo možné vložit ani samotný, 'doma' předem upravený a zformátovaný text (třeba kvůli CSS). Ale tak přísně to asi myšleno nebylo :-) Moje obava vzikla ze srovnání širokých grafických možností Písmáka s ostatními (nebo již neexitujícími) 'skladišti' podobného typu (Literra, Sapsi, Likerium apod.)

pozorovateI
04. 10. 2007
Dát tip
jasně!:)) jen dál motivuj je to záslužná činnost:)

martinez
04. 10. 2007
Dát tip
já snad ten důvod nebudu - já o bezpečnosti a zabezpečení serveru teda fakt psát nemožu - ale furt čekám že se někdo chytne tématu...

pozorovateI
04. 10. 2007
Dát tip
protože sem píšeš blbosti jako my?

martinez
03. 10. 2007
Dát tip
chjo, zas se mi koník cpe do debaty :o(

pozo, brek má pravdu, jeho sem nezklamala, nic ode mne nečeká, co taky - s mou pamětí a přístupem :o) brek.u, pozo má taky pravdu... :o) ale proč tu nikdo nediskutuje o tom o čem já nemám páru - o bezpečnosti a zabezpečení serveru a aplikace? :o)

pozorovateI
02. 10. 2007
Dát tip
brek.: všichni s tebou nesouhlasí

martinez
02. 10. 2007
Dát tip
šmankote, že bych šla do sebe? jak já vám to chlapci enem vynahradím?!

pozorovateI
02. 10. 2007
Dát tip
myslím, že mluvím za všechny, když řeknu, že martinez svým výrokem zklamala nás všechny ;( čekalo se víc

stanislav
02. 10. 2007
Dát tip
martinez, já od tebe čekal nějakou moc pěknou repliku na thema, kterak ochránit svá díla, a ty takhle, zklamalas, děvče... :o))

martinez
02. 10. 2007
Dát tip
aha, chaos to řeší tu, tož to moje avi bylo navíc - že sorry :o) ale většině toho tu nerozumím - to jen tak abyste ode mne nic chytrýho nečekali :o)

Přesně jak píše CrawlingChaos... -zamezení html(dá se krásně nahradit. např. BBTagy či některým dostupným editorem textu) a ostatních vstupních parametrů do DB (např. vkládání skriptů či mysql_injection). -nezahashované heslo je snad dokonce trestné :) -optimalizovat Písmák nejen pro IE, ale i další menšinové prohlížeče (FF,Opera,NetScape...)

za mojimi pripomienkami a návrhmi si napriek zákernej snahe o zdiskreditovanie mojej osoby stojím mierne som ich pozmenil berúc ohľad na dasslerov text vyššie 1. zakázať tag <script> vo všetkých vstupoch pre zamedzenie útokov XSS a tiež html event atribúty, určite zakázať atribút "style" - zabraňuje zneužitiu diel, pošty a kritík na záškodnícku činnosť, ktorej výsledkom môže byť ukradnutie cookies, alebo zasvinenie stránok (viď moju autorskú stránku, ktorá je k dnešnému dátumu príkladom) 2. prípadne zakázať všetok HTML kód v príspevkoch okrem vybraných tagov a zaviesť vlastnú syntax pre pridávanie obrázkov a zvýrazneného textu - asi ako prvý bod, ale možno jednoduchšie na implementáciu 3. hashovať heslá v databáze algoritmom SHA1 a pri prihlásení overovať hash proti hashu namiesto plain textu proti plain textu /vyžaduje novú implementáciu podpory pre zabudnuté heslo - vygenerovanie nového hesla a zaslanie na užívateľov email - za týmto účelom je pri registrácii dobré overiť existenciu emailovej adresy, aby nedošlo k situácii, že týpek chce nové heslo, ale nemá platný email/ - toto slúži na zabránenie úniku hesiel pri nedajbože prieniku do DB, resp. zneužitie hesiel administrátormi DB - s využitím javascriptu je možné posielať heslo na server už zahashované 4. zabezpečiť zobraziteľnosť pri vypnutí javascriptu - niektorí ľudia z bezpečnostných dôvodov vypínajú JS, bolo by dobré, keby si mohli písmák zobraziť tak ako ostatní 5. umožniť užívateľovi vypnúť zobrazovanie niektorých informácii (dátum posledného prihlásenia) na jeho autorskej stránke - účelom je chrániť súkromie užívateľov (mňa osobne dátum posledného prihlásenia irituje) 6. prepracovať politiku sankcií za porušovanie pravidiel, rebríček trestov od dočasného zákazu prispievania až po zrušenie účtu (pri dodržaní zákonov ČR), používať varovania /podmienené tresty/ - zmysel opatrenia ukázali kauzy nedávno minulé

dassler
01. 10. 2007
Dát tip
JiKo ... měl jsem na mysli takové poznatky a treba i navrhy na reseni, jako naznacil CrawlingChaos a Dero pod mym prvnim zde prispevkem. Myslim, ze CrawlingChaos dokonce nejakou takovou diskusi mel i u sveho nicku, jestli se nepletu. Ja bych to sem i prekopiroval, ale urcite si myslim, ze se tady jeden i druhy take zastavi a zapoji se (at neprendavam jejich texty bez jejich vedomi). -d-

JiKo
01. 10. 2007
Dát tip
To je těžkej skoro až nesmyslnej dotaz když nevíme jak je to teď :)))

Na psaní názorů musíte mít ověřený email.
Sdílení
Nahoru