Рубрика «авторизация» - 9

в 1:32, , рубрики: api, ietf, IT-стандарты, oauth, oauth 2.0, авторизация, Веб-разработка, метки: , , ,

Редактор OAuth 2.0 попросил вычеркнуть своё имя из спецификаций

Эран Хаммер (Eran Hammer), один из авторов спецификаций OAuth 1.0, а также действующий редактор создающегося стандарта OAuth 2.0, объявил об уходе с поста после трёх лет работы над новым стандартом, и попросил вычеркнуть своё имя из спецификаций.

В личном блоге специалист объяснил причины такого поступка. Если в двух словах, то OAuth 2.0 после обработки в IETF превратился в плохой стандарт. «Он плох настолько, что я больше не хочу, чтобы моё имя ассоциировалось с ним», — пишет Эран Хаммер, хотя и отмечает, что после трёх лет упорной работы это решение далось ему нелегко. Обсуждение нового стандарта в IETF привело к множеству компромиссов, в результате чего появились спецификации, которые не удовлетворяют двум основным принципам — совместимости и безопасности. Так, одним из компромиссов стало переименование протокола во фреймворк, а ещё одним компромиссом — добавление заявления, что спецификации вряд ли способны обеспечить совместимые реализации. Даже пример Facebook показывает, что разработчики игнорируют важные части OAuth 2.0, и это при том, что в Facebook реализацией этой технологии занимается один из авторов спецификаций.
Читать полностью »

в 17:23, , рубрики: framework, linux, systemd, web-разработка, авторизация, базы данных, Веб-разработка, защита, Песочница, производительность, сервер, метки: , , , , , , , ,

Краткий анонс

Собирался добавить пару предположений на счет авторизации и регистрации на сайте, но то ли от недосыпания, то ли от многочисленных выпитых сегодня чашек кофе меня потянуло в дебри. Набросал некоторые заметки. Возможно кто-то из Вас найдет что-то новое для себя, возможно кто-то подскажет новое правило для кого-то, возможно кто-то поправит меня тем самым дав и мне урок, и другим. Ниже идут некоторые заметки работы с БД, еще ниже уже несколько заметок про работу самого сервера и т.д.
Читать полностью »

в 0:08, , рубрики: php, авторизация, метки: ,

Сейчас я делаю свой небольшой сайт и у меня возникла вот такая идея. В моей базе данных хранятся такие пользовательские данные как логин, пароль и код уровня доступа (1 — администратор, 2 — модератор, 3 — обычный пользователь). Если кто-то получит доступ к моей таблице и изменит код доступа на «1» то он автоматически станет админом. Это не хорошо.

Поэтому я решил ввести новую запись — ключ. Ключ создаётся по такой схеме md5(Соль + Пароль(не хэш) + Ранг). Зачем нужна Соль? Чтобы скрыть способ шифрования — иначе злоумышленник может сам сделать свой хэш, а так может только мой скрипт. При каждом логине пользователя я сверяю два ключа — тот который создан по введеному паролю и тот который хранится в БД. Если ключи не совпадают (sql-инъекцией злоумышленник изменил себе ранг) скрипт не даёт авторизоваться, хотя логин и пароль введены правильно. Можно добавить в ключ другие важные данные — е-майл, номер телефона и т.п. Читать полностью »

в 7:07, , рубрики: CAS, eдиная авторизация, JASIG, Sigle sign on, Single Sign Out, SSO, авторизация, Блог компании Тинькофф Кредитные Системы, метки: , , , , , ,

Единая авторизация (SSO) средствами JASIG CAS. Часть 2
Приветствую, уважаемые хабро-читатели. Перед вами продолжение серии статей про JASIG CAS. В этой части я расскажу, как собрать артефакт CAS и начать с ним работать. Прежде, чем читать дальше, я надеюсь, вы прочитали первую часть.

Читать полностью »

в 6:36, , рубрики: oauth, ruby, ruby on rails, ruby on rails 3, vk.com, авторизация, День святого Валентина, социальные сети, метки: , , , , , ,

Мне очень нравятся сервисы вроде formsping.me, ask.fm тем, что у каждого пользователя есть своя маленькая страничка (например, ask.fm/popova) — и ты сразу знаешь к кому попал.
Мне и моему другу sborod пришла в голову идея сделать сервис для признаний в любви с похожей механикой:
1. Андрей заходит на сайт, логинясь через ВКонтакте, и вводит ссылку на профиль Марины, которая ему нравится.
Сервис признаний в любви на Rails
2. Ему генерируется собственная страничка howmuchiloveyou.ru/его короткое имя или id номер ВКонтакте, если короткое имя не указано.
3. Он копирует ссылку себе в статус ВКонтакте или на стену.
4. Всем перешедшим по ссылке, кроме Марины, говорят: «Я люблю не тебя». Если заходит Марина, то ей выводится: «Я тебя люблю! Андрей».
Читать полностью »

в 15:52, , рубрики: CAS, eдиная авторизация, JASIG, Sigle sign on, Single Sign Out, SSO, авторизация, Блог компании Тинькофф Кредитные Системы, метки: , , , , , ,

Единая авторизация (SSO) средствами JASIG CAS. Часть 1
Эта статья задумывалась как практическое руководство по установке и настройке сервера JASIG CAS. Я не ставил себе целью объяснить, что такое Single Sign On (SSO), поэтому если вы еще не знакомы с этим понятием, то сначала загляните на википедию и портал Techtarget. Желательно, также иметь опыт работы со Spring и Maven.
Статья будет состоять из 3-х частей. В начале я коротко расскажу, почему мы остановили свой выбор на CAS и об особенностях его протокола. Остальная статья будет посвящена настройке сервиса авторизации, начиная с конфигурации контейнера сервлетов и заканчивая решением некоторых нетривиальных вопросов, таких как авторизация с внешней формы и хэширование учетных данных.
Читать полностью »

в 8:51, , рубрики: mail.ru, oauth 2.0, php, авторизация, Веб-разработка, Песочница, метки: , , ,

Всем привет!
На хабре уже была статья от Nodge про авторизацию на различных сервисах, в том числе и Mail.ru. Но она была для Yii и в ней детально не описывался сам процесс. Так же была статья от propovednik, но в ней описывался процесс авторизации через javascript + php. В этой статье я бы хотел детально разобрать серверный метод авторизации. Для авторизации будет использован PHP и модель сервер-сервер.
Читать полностью »

в 10:48, , рубрики: eauth, yii, авторизация, метки: , ,

Думаю, редкий человек, следящий за блоком Yii на хабре, не видел статью об экстеншене для авторизации через социальные сети EAuth. Сегодня я хочу представить в некотором роде продолжение этой темы, а именно модуль для управления пользователями, основанном на вышеупомянутом дополнении.
Читать полностью »

в 13:52, , рубрики: Linux для всех, squid, авторизация, системное администрирование, Убунтариум, метки: ,

Недавно появилась задача реализовать некоторые функции Kerio в linux, а именно авторизацию
пользователей прокси сервера Squid в режиме transparent. Это сделать довольно просто и на
просторах интернета много статей как это сделать, но появилась проблема в режиме transparent
(прозрачный прокси) авторизация не работает. Конечно если у Вас небольшое количество пользователей
это не является проблемой, отключил transparent прописал у всех прокси сервер в браузерах и все.
Но когда пользователей и компьютеров становиться много и прописывать прокси сервер у всех нет
возможности/времени, тут приходиться искать решения. Одно из решений это связка Squid+PHP+NAT.
Читать полностью »

в 9:17, , рубрики: авторизация, Алгоритмы, безопасность, Веб-разработка, криптография, пароли, хеширование, метки: , , ,

Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.

Общие рассуждения

Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:

  • передачу пароля можно перехватить (троян, обезьяна в середине)
  • базу с паролями могут украсть, и расшифровать

Читать полностью »

1...8910
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js