Form tabanlı web kimlik doğrulaması ilişkin açıklayıcı kılavuz

oy
4k

web siteleri için form tabanlı kimlik doğrulama

Biz yığın taşması sadece çok spesifik teknik sorular için kaynak değil, aynı zamanda ortak sorunlar üzerinde varyasyonlar çözmek için nasıl genel kılavuzlar için olması gerektiğine inanıyoruz. Web siteleri için Form tabanlı kimlik doğrulama Böyle bir deney için ince bir konu olmalıdır.

Bu gibi konuları içermelidir:

  • Giriş yapmak için nasıl
  • Oturumu nasıl
  • Nasıl oturumun açık kalması için
  • (Önerilir ayarları dahil) yönetme çerezler
  • SSL / HTTPS şifreleme
  • şifreleri saklamak için nasıl
  • Gizli soruları kullanma
  • Unutulan kullanıcı adı / şifre işlevselliği
  • Kullanımı nonce'ları önlemek için çapraz site saldırılara (CSRF)
  • OpenID
  • Beni hatırla onay kutusu
  • kullanıcı adı ve şifre Tarayıcı otomatik tamamlama
  • Gizli URL'ler (kamu URL sindirimi ile korunan)
  • şifre gücünü kontrol etme
  • E-posta doğrulama
  • ve çok daha fazlası hakkında form tabanlı kimlik doğrulama ...

Bu gibi şeyler içermemelidir:

  • Roller ve yetkilendirme
  • HTTP temel kimlik doğrulaması

Bize göre yardım edin:

  1. alt konuları öne süren
  2. Bu konuda iyi makaleler gönderme
  3. resmi cevabı düzenleme
Oluştur 02/08/2008 saat 20:51
kaynak kullanıcı
Diğer dillerde...                            


12 cevaplar

oy
3k

Nasıl Giriş için: Ben BÖLÜM

Biz zaten bir giriş + şifre HTML formu nasıl oluşturulacağını biliyoruz varsayıyoruz kimlik doğrulaması için sunucu tarafındaki bir komut dosyası için hangi mesajları değerler. Aşağıdaki bölümlerde ses pratik auth ve nasıl en yaygın güvenlik tuzaklardan kaçınmak için desenleri ile ilgileneceğiz.

HTTPS için ya da değil HTTPS?

bağlantı zaten güvenli (yani, SSL / TLS kullanarak HTTPS ile tünellenir) olmadığı sürece, giriş form değerleri tarayıcı ve web sunucusu arasında hat üzerinde kulak misafiri kimse onlar geçerken oturumların okumak mümkün olacak verir düz yazı, içinde gönderilecektir vasitasiyla. telefon dinleme Bu tür hükümetler tarafından rutin olarak yapılır, ancak genel olarak biz bu demek başka 'olunan' telleri ele almayacaktır: Önemli bir şey koruyan ise, HTTPS kullanın.

Esas olarak, sadece pratik bir yoldur HTTPS veya (örneğin, bir sertifika tabanlı şifreleme şeması kullanılarak giriş sırasında koklama dinleme / paket karşı korumak için TLS ) ya da kanıtlanmış ve test parola-cevabı düzeni (örneğin, Diffie-Hellman merkezli SRP). Başka bir yöntem, kolayca kaçınılabileceği bir dinleme saldırgan tarafından.

Eğer biraz kullanışsız almak isteyen Tabii ki, eğer, ayrıca iki faktörlü kimlik doğrulama şeması çeşit (örneğin Google Şifrematik uygulamasını, fiziksel bir 'soğuk savaş tarzı' kod çizelgesine veya bir RSA anahtar üreteç kilidini) istihdam olabilir. Doğru uygulandığında, bu güvenli olmayan bir bağlantı bile işe yarayabilir, ama bir dev iki faktörlü kimlik doğrulama ancak SSL uygulamak için istekli olacağını hayal etmek zor.

(Etmeyin) Rulo-your-kendi JavaScript şifreleme / karma

sıfırdan farklı maliyet ve web sitenizde bir SSL sertifikası kurma algılanan teknik zorluk göz önüne alındığında, bazı geliştiriciler güvenli olmayan tel üzerinde cleartext oturumların geçen önlemek için kendi tarayıcı içi karma veya şifreleme düzenleri rulo için cazip vardır.

Bu asil düşünce birlikte, esas olarak yararsız (ve bir olabilir güvenlik kusur ) yukarıda biri ile birlikte kullanılmadığı sürece - yani, her iki güçlü şifreleme ile hat sabitlenmesi ya da denenmiş ve test edilmiş parola-cevabım kullanılarak mekanizması (sadece bunu kanıtlamak için en zor biri tasarlamak için en zor ve dijital güvenlik kavramları uygulamak en zor olduğunu biliyoruz, bunun ne olduğunu bilmiyorsanız).

O şifreyi karma olduğu doğru olmakla birlikte olabilir karşı etkili şifre açıklamaya bir saldırganın teminatsız HTML sayfası içine birkaç bayt enjekte edip etmeyeceği tekrar edilmeye karşı savunmasızdır, Man-in the Middle saldırıları / kaçırma (sizin ulaşmadan önce siz) saldırganı hem kullanıcı adı, tuz teslim ve parola karma yapılmadan beri tarayıcı, basitçe () JavaScript karma dışarı yorum yapmak ya kaba kuvvet saldırıları olabilir.

İnsanlığa karşı CAPTCHA'ların

CAPTCHA'ların hiçbir insan operatör ile otomatik sözlük / kaba kuvvet deneme-yanılma: saldırısı biri spesifik bir kategori önlemek içindir. Bu gerçek bir tehdit olduğuna hiç şüphe yok, ancak özellikle düzgün serverside giriş azaltma düzenleri tasarlanmış sorunsuz bir CAPTCHA gerekmez onunla başa yolu vardır - daha sonra bu tartışacağız.

Uygulamalar hem yaratılmış olmadığını CAPTCHA bilin; genellikle (e göre çoğu hepsi ucuz üçüncü dünya işçiliğine karşı etkisizdir, botlara karşı aslında etkisiz, insan-çözülebilir değildir OWASP , cari çalıştıran işyeri oranı 500 testlerin başına $ 12 olduğunu) ve bazı uygulamalar olabilir bazı ülkelerde teknik olarak yasadışı (bkz OWASP Kimlik Hile Sheet ). Bir CAPTCHA kullanmanız gerekiyorsa, Google'ın kullanmak reCAPTCHA'yı OCR-sert tanımı gereği olduğundan, (zaten kitap taramaları OCR-Yanlış sınıflandırılan kullandığından) ve kullanıcı dostu olmak çok uğraşır.

Şahsen, CAPTCHA'ları rahatsız edici buluyorum ve bir kullanıcı maxxed olan süreleri ve azaltma gecikmeler bir dizi giriş başarısız olduğunda sadece son çare olarak kullanma eğilimindedir. Bu kabul edilebilir olması için nadiren yeterli olur, ve bir bütün olarak sistemini güçlendirir.

Depolama Şifreler / Doğrulama oturum açma

Tüm yüksek kamuoyunda kesmek ve kullanıcı verileri sızıntıları biz son yıllarda gördüğüm sonra bu nihayet ortak bilgi olabilir ama söylenmesi gerekiyor: veritabanınızda Parolaları düz metin olarak saklamayın. Kullanıcı veritabanları rutin kesmek sızan veya SQL enjeksiyon yoluyla toplanan ve çiğ, düz metin şifreleri saklamak durumunda, o anlık oyun giriş güvenliği için bitti vardır.

Eğer şifrenizi saklamaz eğer Peki, nasıl giriş formundan POSTed giriş + şifre kombinasyonu doğru olup olmadığını kontrol edersiniz? Yanıt bir kullanarak karma olan anahtar türetme işlevi . Yeni bir kullanıcı oluşturulduğunda veya şifresi her değiştiğinde, uzun, rasgele görünümlü dizeye cleartext şifre ( "correcthorsebatterystaple") çevirerek, böyle Argon2, Bcrypt, scrypt veya PBKDF2 olarak, şifreyi alıp bir KDF aracılığıyla çalıştırmak , çok daha güvenli olan veritabanınızda depolamak için. Bir giriş doğrulamak için, bu kez tuz geçen ve veritabanında saklanan değere çıkan karma dize karşılaştırma, girilen şifre aynı karma işlev çalıştırın. Argon2, bcrypt ve scrypt mağaza zaten karma ile tuz. Şuna bak makaleye daha ayrıntılı bilgi için sec.stackexchange üzerinde.

Eğer karşı karma korumak için sözde 'tuz' eklemek isteyeceksiniz - tuz kullanılır nedenle kendi içinde karma yeterli değildir çünkü gökkuşağı tabloları . Bir tuz, etkili bir şekilde tam olarak, bir saldırganın saldırı tahmin bir şifre yürütülüyorsa bütün veri tabanı bir seferde taranan önlenmesi, aynı karma değeri olarak depolanmaktadır eşleştireceğimiz iki parola önler.

Kullanıcının seçtiği şifreler yeterince güçlü olmadığı için bir şifreleme karma şifre depolama için kullanılmamalıdır (yani genellikle yeterli entropi içermeyen) ve bir şifre tahmin saldırısı hash erişimi olan bir saldırgan tarafından nispeten kısa sürede tamamlanabilir. Bir KDF kullanıldığı nedeni budur - bunlar etkin bir şekilde "tuşuna germek" 10,000 kat daha yavaş tahmin saldırganın şifresini yapma, her şifre örneğin bir saldırganın yineleme karma algoritması birden çok kez kapsar hale 10,000 kere tahmin anlamına gelir.

Oturum verileri - "Sen Spiderman69 olarak giriş yaptınız"

Sunucu kullanıcı veritabanına karşı giriş ve şifre doğrulanmış ve bir eşleşme tespit edildikten sonra, sistem tarayıcı doğrulanmış edildiğini hatırlamak için bir yol ihtiyacı vardır. Bu gerçek sadece hiç oturum verilerinin sunucu tarafı muhafaza edilmelidir.

- Oturum verileri - sunucuda depolanan tek rastgele oluşturulmuş dize bir süresi dolan çerez olarak depolanır ve veri koleksiyonu başvurmak için kullanılır: Eğer oturum verileriyle bilmiyorsanız, işte işler böyle yürüyor. Bir MVC framework kullanıyorsanız, bu kuşkusuz çoktan ele alınır.

Mümkünse, oturum tanımlama tarayıcıya gönderirken güvenli ve HTTP Sadece bayraklar set olduğundan emin olun. Httponly bayrak çerez karşı bazı koruma XSS saldırısı okunduğunu sağlar. Güvenli bayrak çerez sadece HTTPS aracılığıyla geri gönderilmesini sağlar ve bu nedenle ağ koklama saldırılarına karşı korur. Çerez değerinin öngörülebilir olmamalı. Mevcut olmayan bir oturumu başvuran bir çerez sunulur Nerede, değeri önlemek için derhal değiştirilmelidir oturumu fiksasyonunu .

BÖLÜM II: oturumun açık kalması için nasıl - Infamous "Beni Hatırla" Checkbox

Kalıcı Girişi Çerezler bir tehlike bölgesi vardır (işlevsellik "beni hatırla"); Bir yandan bunlar tamamen kullanıcılar bunları işlemek için nasıl çalıştığını anlamak geleneksel girişlerinde kadar güvenlidir; ve diğer taraftan, kamu bilgisayarlarda bunları kullanmak ve oturumu kapatmayı unutmak ve kim ya da ne kadar da silmek ne tarayıcı çerezleri bilmiyor olabilir dikkatsiz kullanıcılar, elinde muazzam bir güvenlik riski vardır.

Şahsen, ben düzenli olarak ziyaret ettiğiniz web siteleri için kalıcı oturum açma gibi ama güvenli bir şekilde nasıl ele biliyorum. Eğer kullanıcı aynı biliyoruz olumlu ise, temiz bir vicdanla kalıcı oturumların kullanabilirsiniz. Değilse - evet, o zaman onlar kesmek almak durumunda kendi giriş kimlik bilgileri ile dikkatsiz kullanıcıların kendi üzerlerine getirdi felsefesi abone olabilir. Biz kullanıcılarımızın evlere gidip koparmak gibi değil tüm bu facepalm sebep olan Post-it bunlar ya, onların monitör kenarında dizilmiş olan şifrelerle belirtiyor.

Tabii ki, bazı sistemler var göze alamaz herhangi kesmek hesapları; Böyle sistemler için, kalıcı oturum açma bilgilerini almak haklı hiçbir yolu yoktur.

Kalıcı giriş çerezleri uygulamaya karar DO, bu bunu nasıl olduğunu:

  1. İlk olarak, okumak için biraz zaman alabilir Paragon İnisiyatifi'nin makaleye konu üzerinde. Doğru unsurların bir demet almak gerekir ve makalede, her anlatan harika bir iş yok.

  2. Ve sadece, en yaygın tuzaklar birini yinelemek için veritabanınızda PERSİSTAN GİRİŞ COOKIE (TOKEN) DEPOLANAMAMASI YAPMAYIN, IT YALNIZCA ÇOK HASH! Giriş anahtarı Şifre eşdeğer olduğunu, bu nedenle bir saldırganın veritabanı üzerinde ellerini var ise, onlar cleartext giriş-şifre kombinasyonları sadece sanki herhangi bir hesapla giriş yapmak için belirteçleri kullanabilirsiniz. Bu nedenle, (e göre karma kullanmak https://security.stackexchange.com/a/63438/5002 kalıcı giriş belirteçleri saklarken, bu amaçla sadece yeterli olacaktır zayıf karma).

BÖLÜM III: Gizli Sorular kullanma

'Gizli soru' uygulamak etmeyin . 'Gizli soruları' özelliği bir güvenlik karşıtı kalıptır. Mutlaka okunması listeden bağlantı sayısı 4'ten kağıt okuyun. Onun Yahoo! sonra, bir hakkında Sarah Palin sorabilirsiniz E-posta hesabı çünkü cevabı onun güvenlik soruya önceki başkanlık kampanyası sırasında kesmek var idi ... "Wasilla Lisesi"!

Hatta kullanıcı tarafından belirtilen sorularla, çoğu kullanıcı ya seçecektir olasılığı çok yüksektir:

  • anne kızlık soyadı ya da favori evcil hayvan gibi bir 'standart' gizli soru

  • Herkes kendi blogunda, LinkedIn profilinizde veya benzeri dan kaldırabilir o trivia basit bir parça

  • kolay Herhangi bir soru şifrelerini tahmin etmek yerine cevap vermek. Hangi herhangi bir iyi şifre, hayal edebileceğiniz her sorudur

Sonuç olarak, güvenlik soruları hemen hemen tüm bunların formları ve çeşitleri olarak güvenli değillerdir ve herhangi bir nedenle bir kimlik doğrulama şeması istihdam edilmemelidir.

güvenlik soruları bile vahşi var neden gerçek nedeni, uygun bir yeniden etkinleştirme kodu almak için kendi e-posta erişemez bazı kullanıcılardan destek aramaların maliyeti tasarrufu olmasıdır. Bu güvenlik ve Sarah Palin itibar pahasına. Buna değer? Muhtemelen değil.

Bölüm IV: Şifre Hatırlatma İşlevsellik

Eğer gereken neden şimdiden söz güvenlik soruları kullanmak asla unutulmuş / kayıp kullanıcı şifreleri işlemek için; aynı zamanda, kullanıcıların gerçek şifreleri e-posta asla söylemeye gerek yok. Bu alanda önlemek için en az iki tane daha tüm çok yaygın tuzaklar vardır:

  1. Etmeyin sıfırlamak Otomatik olarak oluşturulmuş bir güçlü şifre unutulmuş bir parola - Böyle şifreleri kullanıcı bunu değiştirebilir veya yere yazmak gerekir ya anlamına gelir hatırlamak herkesin bildiği gibi zor - parlak sarı üzerine, demek Post-Onların monitörün kenarında. Onlar zaten ne yapmak istediğini olan - Yerine yeni bir şifre atama, sadece kullanıcıların hemen yeni bir tane alalım.

  2. Her zaman veritabanında kayıp şifre kodu / jetonu karma. TEKRAR , bu kod, bir Parola Eşdeğeri başka bir örnektir, bu nedenle bir saldırganın veritabanı üzerinde ellerini var halinde karma GEREKİR. Ve - kayıp şifre kod istendiğinde, o zaman, karma veritabanınızda karma kaydetmek, kullanıcının e-posta adresine düz metin kodu göndermek orijinali atmak . Sadece bir şifre veya kalıcı giriş anahtarındaki gibi.

Son bir not: her zaman 'kayıp şifre kodu' giriş yapmak üzere arayüz emin olun kendisi giriş formu olarak en az güvenlidir veya bir saldırgan basitçe yerine erişebilmek için bunu kullanır. Eğer çok uzun oluşturmak (örneğin, 16 harf duyarlı alfanümerik karakter) iyi bir başlangıçtır 'şifre kodlarını kaybetti', ancak giriş formu kendisi için ne aynı azaltma düzeni eklemeyi düşünün emin olmak için.

BÖLÜM V: Parola Gücü denetleme

: Öncelikle, bir gerçeklik kontrolü için bu küçük makale okumak isteyeceksiniz 500 en yaygın şifreler

Tamam belki bir liste değildir kanonik en yaygın şifreler listesi herhangi sistemde herhangi bir yerde hiç ama yerinde hiç zorlanan politika olduğunda şifrelerini seçecek ne kadar kötü insanlar iyi bir göstergesidir bu. Eğer son zamanlarda çalınan şifrelerin kamuya açık analizler için karşılaştırdığımızda Artı, liste eve korkutucu yakın görünüyor.

Yani: Minimum şifre gücü gereksinimleri ile, kullanıcıların% 2 ilk 20 en yaygın şifreler biri kullanırlar. Anlamı: Bir saldırganın sadece 20 girişimleri alırsa, web sitenizde 1 50 hesaplar crackable olacaktır.

Bu engelliyordu bir şifrenin entropi hesaplanması ve daha sonra bir eşik uygulayarak gerektirir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayın 800-63 çok iyi bir dizi öneriler ortaya sahiptir. Yani, bir sözlük ve klavye düzeni analizi ile birleştirildiğinde, (örneğin, 'qwertyuiop' kötü şifredir) tüm kötü seçilmiş şifreleri% 99 reddetmek entropi 18 bit seviyesinde. Basitçe şifre gücünü hesaplamak ve görsel gücü ölçer gösteren bir kullanıcı iyi, ama yetersiz için. Anlaşmanın yürürlüğe sürece, çok sayıda kullanıcı büyük ihtimalle bunu göz ardı edecektir.

Ve yüksek entropi şifre kullanım kolaylığı üzerine serinletici üstlenmek için, Randall Munroe adlı Şifre Gücü xkcd şiddetle tavsiye edilir.

BÖLÜM VI: Çok fazla - Veya: Önleme Rapid-Fire Girişi girişimleri

İlk olarak, sayıları bir göz: Şifre Kurtarma Hızları - Ne kadar şifreniz ayağa kalkacak

Eğer bu bağlantı tablolarda bakmak için zaman yoksa, burada onlardan liste:

  1. Bu sürer neredeyse hiçbir zaman bir abaküs ile çatlama olsanız bile, zayıf bir parolayı çözmek

  2. Bu sürer neredeyse hiçbir zaman sorun olduğu takdirde bir alfanümerik 9 karakterli şifre kırmak için duyarsız vaka

  3. Bu sürer neredeyse hiçbir zaman sorun olduğu takdirde karmaşık, semboller-ve-harfleri-ve-sayılar, küçük harf üst ve-şifre çatlamak az 8 karakter uzunluğunda (bir masaüstü bilgisayar, bir 7 karakterden tüm KEYSPACE kadar arama yapabilirsiniz gün veya hatta saatler meselesi)

  4. Ancak, hatta 6 karakterli şifre çatlamak zaman bir aşırı miktarda alacağını, sen saniyede bir girişim ile sınırlı olsaydı!

Bu yüzden, bu sayılardan ne öğrenebilir? Eh, çok ama en önemli kısmı odaklanabilirsiniz: seri ateş ardışık giriş denemelerinden çok sayıda önlenmesi (. Yani aslında kaba kuvvet saldırısı) Çok da zor değil. Ama bunu engelleyen sağ göründüğü kadar kolay değildir.

Genel anlamda, kaba kuvvet saldırılarına karşı tüm etkilidir üç seçenek vardır (ve sözlük saldırılarına, ama zaten güçlü parolalar politikasını istihdam edildiğinden, bunlar bir sorunu olmamalı) :

  • Bir sunun CAPTCHA N başarısız girişimden sonra (- ama kendimi burada tekrar ediyorum etkisiz genellikle cehennem gibi rahatsız edici ve)

  • Hesaplarını kilitleme ve N başarısız girişimden sonra e-posta doğrulama gerektiren (bu olduğunu DoS gerçekleşmesini bekleyen saldırı)

  • Ve son olarak, giriş azaltma : Yok (evet, DoS saldırıları hala mümkündür, fakat en azından çok daha az olasıdır ve koparmak için çok daha karmaşık) başarısız girişimden sonra girişimleri arasında bir zaman gecikmesi ayarı vardır.

En iyi uygulama 1: gibi başarısız girişimleri, sayısı arttıkça artmaktadır Kısa bir süre gecikmesi:

  • 1 denemede başarısız olan = gecikme yok
  • 2 girişimleri başarısız = 2 sn gecikme
  • 3 girişimleri başarısız = 4 sn gecikme
  • 4 girişimleri başarısız = 8 sn gecikme
  • 5 girişimleri başarısız = 16 sn gecikme
  • vb.

Elde edilen kilitleme süresi bir önceki kilitleme kez toplamından biraz daha büyük olduğu için DoS bu düzeni saldıran çok pratik olacaktır.

Netleştirmek için: gecikme değil tarayıcıya yanıtını dönmeden önce bir gecikme. Daha belirli bir hesaba veya belirli bir IP adresi kabul veya hiç değerlendirmeye alınmayacaktır gelen girişimleri giriş sırasında bir zaman aşımı veya refrakter dönem gibidir. Yani, doğru kimlik bilgileri başarılı bir girişte bazı döndürmez edilir ve yanlış kimlik bilgileri bir gecikme artış tetiklemez.

En iyi uygulama 2: N gibi, başarısız girişimden sonra yürürlüğe girecek bir orta uzunlukta zaman gecikmesi:

  • 1-4 girişimleri başarısız = gecikme
  • 5 girişimleri başarısız = 15-30 dakika gecikme

DoS bu düzeni saldıran oldukça pratik, ama kesinlikle yapılabilir olacaktır. Ayrıca, kadar uzun bir gecikme meşru kullanıcı için çok can sıkıcı olabilir unutmayın alakalı olabilir. Unutkan kullanıcıların sizi sevmediğim olacaktır.

En iyi uygulama 3: iki yaklaşımı birleştiren - N gibi, başarısız girişimden sonra yürürlüğe girecek sabit, kısa zaman gecikmesi ya:

  • 1-4 girişimleri başarısız = gecikme
  • 5 + girişimi başarısız = 20 sn gecikme

Ya da, bir üst gibi bağlanmış sabit ile artan gecikmesi:

  • 1 başarısız girişimi = 5 saniye gecikme
  • 2 girişimleri başarısız = 15 sn gecikme
  • 3+ girişimi başarısız = 45 sn gecikme

Bu son şeması OWASP en iyi uygulamaları önerileri (mutlaka okunması listeden bağlantı 1) alındı ​​ve kısıtlayıcı tarafında kuşkusuz olsa bile, en iyi uygulama düşünülmelidir.

Ancak kural olarak, söyleyebilirim: güçlü şifrenizi politikası, o kadar az gecikme ile hata kullanıcılara var. Eğer güçlü (küçük harfe duyarlı alphanumerics + gerekli sayı ve sembollerin) 9+ karakter şifreleri gerektiriyorsa, daraltmayı etkinleştirmeden önce kullanıcılara 2-4 gecikmesiz şifre girişimleri verebilir.

DoS Bu son giriş azaltma düzeni saldıran olacağını çok pratik. Ve son bir dokunuş olarak, her zaman kalıcı (cookie) girişlerde de (ve / veya bir CAPTCHA-doğrulanan giriş formu) bu yüzden meşru kullanıcıların bile gecikmeli edilmeyecektir geçmesine izin saldırı devam ederken . Bu şekilde, çok pratik DoS saldırısı bir hale son derece pratik bir saldırı.

O en cazip giriş noktaları olduğundan Ayrıca, yönetici hesapları üzerinde daha agresif azaltmayı yapmak mantıklı

BÖLÜM VII: Dağıtılmış kaba kuvvet saldırılar

Sadece bir kenara olarak, daha gelişmiş saldırganlar 'faaliyetlerini yaymak' ile giriş azaltmayı aşmak için çalışacağız:

  • Bir botnet girişimleri Dağıtma IP adresi işaretlemelerini önlemek için

  • Aksine 50.000 en yaygın şifreler (ki onlar çünkü kısma, olamaz) kullanıcıya toplama ve çalışırken daha onlar en yaygın şifresini almak ve yerine 50.000 kullanıcılara karşı çalışacağız. Bu şekilde, sadece 1 numaralı en yaygın şifre numarası 49,995 çok daha muhtemeldir çünkü onlar, hem CAPTCHA'ları ve giriş sınırlaması, başarı artar onların şans gibi maksimum girişimleri tedbirler etrafında olsun

  • Her kullanıcı hesabı için giriş isteklerini Aralığı, 30 saniye arayla radara gizlice derler

Burada, en iyi uygulama olacağını sistem genelinde başarısız giriş sayısını, giriş ve daha sonra tüm kullanıcılar empoze üst limit için temel olarak sitenizin kötü giriş frekansının bir hareketli ortalamasını kullanarak.

Çok soyut? daha soruyorum:

Siteniz son 3 ayda günde 120 Kötü oturumları bunun ortalama varsayalım. yani - ki (çalışan ortalama) kullanarak, sistem 3 kez bu küresel limitini ayarlayabilirsiniz. 360, 24 saatlik bir süre boyunca girişimi başarısız oldu. Tüm hesaplar üzerinde başarısız girişim sayısı bir gün içinde bu sayıyı aşarsa Sonra (hatta daha iyi ya, hesaplanmış bir eşikte hızlanma ve tetik oranını izlemeye), bu sistem genelinde giriş azaltmayı aktive - TÜM kullanıcılar için kısa gecikmeleri anlam (hala, çerez giriş ve / veya yedek CAPTCHA oturumları hariç).

Ben de bir soru haberi fazla ayrıntı ve zor pitfals önlemek için nasıl gerçekten iyi bir tartışma dağıtılan kaba kuvvet saldırıları savuşturmuştu içinde

Bölüm VIII: İki Faktör Doğrulama ve kimlik doğrulama Sağlayıcıları

Kimlik bilgileri patlatır, şifreler yazılı olup olmadığı, tehlikeye ve kayıp, tuşlarıyla dizüstü çalınmasını veya kullanıcıların phishing sitelerine oturum açma girerek edilebilir. Girişler, bundan başka, bir telefon alınan tek kullanımlık kodları, SMS mesajı, uygulama, da harici olarak bant faktörleri kullanan iki faktörlü kimlik doğrulama ile korunabilir. Çeşitli sağlayıcılar iki faktörlü kimlik doğrulama hizmetleri sunuyoruz.

Doğrulama tamamen başka sağlayıcı kimlik bilgilerini toplama kolları tek oturum açma hizmeti, devredilebilir. Bu güvenilir bir üçüncü tarafa sorunu iter. Facebook'tan benzer tescilli bir çözüm sağlarken, Google ve Twitter hem standartlar tabanlı SSO hizmetleri sağlamaktadır.

MUST-OKU Web Kimlik Doğrulama Hakkında BAğLANTıLARı

  1. OWASP Kılavuzu için Kimlik Doğrulama / OWASP Doğrulama Kısa Notlar
  2. Web'de Dos ve İstemci Kimlik Yapılmayacaklar (çok okunabilir MİT araştırma kağıdı)
  3. Wikipedia: HTTP çerezi
  4. Yedek kimlik doğrulama için Kişisel bilgi soruları: Facebook çağında Güvenlik soruları (çok okunabilir Berkeley araştırma kağıdı)
Cevap 25/01/2009 saat 12:27
kaynak kullanıcı

oy
382

Kesin Madde

kimlik gönderme

Güvenli kimlik bilgilerini% 100 göndermek için tek pratik yolu kullanmaktır SSL . Şifresinin hash JavaScript kullanarak güvenli değildir. Istemci tarafı şifre karma için Ortak tuzaklar:

  • İstemci ve sunucu arasındaki bağlantı şifresiz ise, yapmanız her şeydir man-in-the-middle saldırılarına karşı savunmasız . Karma kırmak ya da sunucuya tüm kimlik bilgilerini göndermek için gelen javascript yerini alabilecek bir saldırgan, onlar müşteri yanıtları dinlemek ve mükemmel kullanıcıları taklit olabilir, Güvenilen Sertifika Yetkilileri ile vs vs SSL MitM saldırıları önlemek için tasarlanmıştır.
  • Sunucu tarafından alınan karma şifre az güvenli sunucuya ek, gereksiz işi yoksa.

Orada adlı başka güvenli bir yöntem olduğunu SRP , ama (o halde bu Patentli serbestçe lisanslı ) ve kullanılabilir birkaç iyi uygulama vardır.

şifreleri saklama

Hiç veritabanında düz metin olarak şifreleri saklamayın. Kendi sitenizde güvenliği umurumda değil bile. Bazı kullanıcılarınız kendi çevrimiçi banka hesabının parolasını yeniden edeceğini varsayalım. Yani, karma şifreyi depolamak ve orijinali atmak. Ve şifre erişim günlükleri veya uygulama günlüklerinde görünmüyor emin olun. OWASP Argon2 kullanılmasını önermektedir yeni uygulamalar için ilk seçenek olarak. Bu mevcut değilse, PBKDF2 veya scrypt yerine kullanılmalıdır. Ve yukarıdakilerin hiçbiri mevcuttur nihayet eğer bcrypt kullanın.

Kendileri tarafından Hash'ler da güvensizdir. Örneğin, aynı şifreleri özdeş karmaları demek - Bu karma arama tabloları kerede çok parolanız çatlama etkili bir şekilde yapar. Bunun yerine, saklamak tuzlu karma. Bir tuz karma önce şifre tutunmuş bir dize - her kullanıcı için farklı (rasgele) tuzu kullanılır. Eğer veritabanında karma bunları saklayabilir, böylece tuz, bir kamu değerdir. Bkz burada bu konuda daha fazla bilgi için.

Bu kullanıcıya kendi Unuttuğunuz şifreleri göndermek anlamına gelir (yalnızca karma olmadığı için). Eğer yetki sahibi kullanıcı sürece kullanıcının şifresini sıfırlamak verme (kullanıcıların) depolanan (ve valide e-posta adresine gönderilen e-postaları okumak mümkün olduğunu kanıtlamak zorundadır.)

Güvenlik SORULARI

Güvenlik soruları güvensizdir - bunları kullanmaktan kaçının. Niye ya? Bir güvenlik sorusu yapar şey bir şifre iyi yapar. Oku BÖLÜM III: Gizli Sorular kullanma içinde @Jens Roland cevap bu wiki burada.

Oturum çerezleri

kullanıcı günlükleri sonra sunucu kullanıcı oturum çerezi gönderir. (YAPILACAK mekanizmalarını açıklamak) Sunucu çerezinden adı veya kimliği alabilir, ancak başka kimsenin böyle bir çerez oluşturabilir.

Çerezler kaçırdılar olabilir : onlar sadece müşterinin makinesi ve diğer iletişimler geri kalanı gibi güvenlidir. Onlar diskten okunabilir, istemci yanlış sunucularına çerezlerini gönderir böylece zehirli DNS'den phished bir siteler arası komut dosyası atağı ile kaldırdı ağ trafiğinde kokladı. Kalıcı çerezleri göndermeyin. Çerezler istemci oturumu (tarayıcı yakın veya alandan çıkma) sonunda sona gerekir.

Eğer kullanıcıları autologin istiyorsanız, sürekli olarak bir çerez bırakır, ancak tam oturum tanımlama farklı olmalıdır. Kullanıcı içinde otomatik kaydedilir vardır ve hassas operasyonlar için gerçek giriş için gereken ek bir bayrak ayarlayabilirsiniz. Bu kesintisiz, kişiselleştirilmiş bir alışveriş deneyimi sağlamak ama yine de mali ayrıntıları korumak istiyorum alışveriş siteleri ile popüler. Örneğin Amazon ziyaret döndüğünüzde, onlar size Giriş yaptıktan benzeyen bir sayfa gösterir, ancak bir sipariş (veya sevkıyat adresi, kredi kartı vb değiştirmek) gidince, onlar onaylamanızı ister şifreniz.

Bankalar ve kredi kartları gibi mali web siteleri, diğer taraftan, sadece hassas veri var ve Otomatik girişin ya da düşük güvenlik modunu izin vermemelidir.

dış kaynak listesi

Cevap 02/08/2008 saat 21:40
kaynak kullanıcı

oy
146

İlk olarak, bu cevap tam da bu soru için en uygun olmadığını güçlü bir uyarı. Kesinlikle üst cevabı olmamalı!

Devam edip Mozilla'nın önerdiği değineceğiz BrowserId (ya da belki daha doğrusu Doğrulanmış e-posta Protokol gelecekte kimlik doğrulama daha iyi yaklaşımlar için bir yükseltme yolu bulmak ruhuyla).

Ben öyle özetlemek gerekir:

  1. Mozilla ile kar amacı gütmeyen bir olduğunu değerlerine bu soruna iyi çözümler bulma ile iyi uyum.
  2. gerçeklik bugün çoğu web sitesi form tabanlı kimlik doğrulamasını kullanmasıdır
  3. Form tabanlı kimlik doğrulama riskini artar büyük bir dezavantajı vardır phishing . Kullanıcılar uzak bir varlık tarafından kontrol edilen bir alana, ziyade Kullanıcı Ajan (tarayıcı) tarafından kontrol edilen bir alana hassas bilgileri girmek için istenir.
  4. tarayıcılar örtük (Kullanıcı Ajanının fikrine Kullanıcı adına hareket etmektir) güvenilen olduklarından, bu durumu iyileştirmeye yardımcı olabilir.
  5. Burada ilerlemeyi engelleyen başlıca kuvvettir dağıtım kilitlenme . Çözümler kendi başlarına bazı ek faydayı sağlamak adımlara ayrılmıştır olmalıdır.
  6. internet altyapısı yerleşik kimliğini ifade etmek için en basit dağıtılmış yöntem alan adıdır.
  7. kimliğin ifade ikinci bir seviyede, her alan hesaplarına kendi belirledi yönetir.
  8. Formu “Hesap @alan” özlü ve protokoller ve tanım şemalarının geniş bir aralık tarafından desteklenir. Böyle bir tanımlayıcı, tabii ki, en evrensel bir e-posta adresi olarak kabul edilmektedir.
  9. E-posta sağlayıcıları zaten fiili birincil kimlik sağlayıcıları çevrimiçi. Mevcut şifre sıfırlama akımları genellikle söz konusu hesaba ait ilişkili e-posta adresini kontrol kanıtlayabilirim eğer bir hesabın kontrolünü ele alalım.
  10. Doğrulanmış e-posta Protokol etki alanı A üzerindeki bir hesabınız alanından B kanıtlayan sürecini düzene yönelik, açık anahtar şifreleme dayalı güvenli bir yöntem sağlamak üzere önerilmiştir
  11. (Şu anda hepsi) Onaylı E-posta Protokolü desteklemeyen tarayıcılar için, Mozilla istemci tarafı JavaScript kodu protokolünü uygulayan bir dolgu sağlar.
  12. Doğrulanmış e-posta Protokolü desteklemeyen e-posta hizmetleri için, protokol, bir hesapta bir kullanıcının sahipliğini doğruladığınızı iddia, üçüncü kişilerin güvenilir bir aracı olarak hareket sağlar. Böyle üçüncü kişilerin çok sayıda olması arzu değildir; Bu yetenek bir yükseltme yolu sağlamak için yalnızca amaçlanmıştır ve çok e-posta hizmetleri söz konusu iddiaları kendileri sağlamak tercih edilir.
  13. Mozilla böyle güvenilir bir üçüncü taraf olarak hareket etmek kendi hizmet sunmaktadır. Doğrulanmış e-posta Protokolün uygulanması Servis Sağlayıcıları (yani, Güvenen Taraflar) Mozilla'nın iddialarını ya da değil güvenmeyi tercih edebilir. Mozilla'nın hizmet onay bağlantısı içeren bir e-posta gönderme geleneksel araçları kullanarak Kullanıcıların hesap sahipliğini doğrular.
  14. Servis Sağlayıcıları, tabii ki, sundukları isteyebilirsiniz kimlik doğrulama başka bir yöntemle (lar) ek bir seçenek olarak bu protokolü sunabilir.
  15. Burada aranıyor Büyük bir kullanıcı arayüzü yararı “kimlik seçici” dir. Bir kullanıcı bir siteyi ziyaret ve kimlik doğrulaması seçtiğinde, kendi tarayıcı onlara e-posta adresleri bir seçim ( “kişisel”, “iş”, “siyasi aktivizmi” vs.) onlar sitesine kendilerini tanımlamak için kullanabilir gösterir.
  16. Bu çabanın bir parçasıdır gibi diğer büyük kullanıcı arayüzü yararı aranmaktadır tarayıcı kullanıcının oturumu hakkında daha fazla bilgi sahibi olmasını sağlamaktır onlar öncelikle olarak şu anda oturum açmış olduğunuz - - bu yüzden tarayıcı krom o görüntüleyebilir.
  17. Bu sistemin dağıtık yapısı nedeniyle, Facebook, Twitter, Google vs. gibi önemli sitelere kilit-önler Çünkü her birey kendi alanın sahibi ve bu nedenle kendi kimlik sağlayıcısı olarak hareket edebilir.

Bu kesinlikle “web siteleri için form tabanlı kimlik doğrulaması” değildir. tarayıcının desteklediği kimlik doğrulama: Ama daha güvenli bir şeye forma dayalı kimlik doğrulama normuna geçiş için bir çabadır.

Cevap 08/08/2011 saat 16:32
kaynak kullanıcı

oy
120

Sadece ben sadece iyi çalışıyor gibi buldum bu çözümü paylaşmak istedim.

Ben diyoruz Kukla Alan (Bu icat değil gerçi bu yüzden bana kredi yok).

Kısacası: Eğer sadece içine bu eklemek zorunda <form>o doğrulanırken de boş olması için ve kontrol edin:

<input type="text" name="email" style="display:none" />

Hüner Ben girdi "e-posta" adında yüzden, işte bu o gerekli bir alana veri girmek zorundadır düşünmelerine aldatacak etmektir. Zaten sen "Şirket", "telefon" ya da "EMAILADDRESS" gibi başka kukla alan bir şey adlandırma denemelisiniz kullandığınız bir alan olarak adlandırılan e-posta var. Sadece size ihtiyacım yok biliyorum şey almak ve hangi şey insanlar gibi sesler normalde bir web formuna doldurmak için mantıklı bulur. Şimdi gizlemek inputsize en uygun ne olursa olsun - - CSS veya JavaScript / jQuery kullanarak alanı sadece yok girişini ayarlamak typeiçin hiddenya da başka bot bunun için düşmez.

Formu (istemci veya sunucu tarafı olarak) sizin kukla alan bir insan veya robot ile göndermek olup olmadığını belirlemek için dolu olup olmadığını kontrol doğrulayarak zaman.

Örnek:

Bir insanın durumunda: kullanıcı ( "email" adlı benim durumumda) boş alan görmez ve bunu doldurmak için denemez. Form gönderme edildiğinde Yani kukla alanın değeri hala boş olmalıdır.

Bir bot durumunda: bot kimin türüdür bir alan göreceksiniz textve bir isim email(veya her ne denir olan) ve mantıksal olarak uygun verilerle doldurmak çalışacaktır. Bazı fantezi CSS web geliştiricileri bunu bütün zaman giriş formunu tarz eğer umursamıyor. Kukla alanındaki değer ne olursa olsun, yeter ki daha büyük olduğu gibi umurumda değil 0karakterler.

Ben birlikte bir ziyaretçi defteri üzerinde bu yöntemi kullanılan CAPTCHA , ve o zamandan beri tek bir spam yazı görmedim. Daha önce CAPTCHA-tek çözüm kullanmıştı, ama sonunda yaklaşık beş istenmeyen mesajların her saat sonuçlandı. Şeklinde kukla alan görünmesini (şimdi en azından kadar) tüm spam durdurdu eklenmesi.

Bu aynı zamanda bir giriş / kimlik doğrulama formu ile gayet kullanılabilir inanıyoruz.

Uyarı : Bu yöntem% 100 aptal kanıt değildir Elbette. Botlar tarzı ile giriş alanlarını görmezden programlanabilir display:noneuygulanmış. Ayrıca onlar için otomatik doldurma tüm form alanlarına (çoğu tarayıcı yerleşik gibi!) Otomatik tamamlama çeşit kullanan kişiler hakkında düşünmek zorunda. Onlar sadece yanı bir kukla alanı almak olabilir.

Ayrıca görünür ama ekranın sınırları dışında boş alan bırakarak biraz bu kadar değişebilir, ancak bu size kalmış tamamen olduğunu.

Yaratıcı ol!

Cevap 22/05/2012 saat 13:11
kaynak kullanıcı

oy
71

Yukarıdaki yanıtı "yanlış" olduğunu düşünmüyorum ama dokunulmaz kimlik doğrulama büyük alanlar vardır (daha doğrusu vurgu değil ne seçenekler mevcuttur ve ticaret nelerdir" konulu, "nasıl çerez oturumları uygulamak için" açık off".

Benim önerilen düzenlemeler / cevaplar

  • Sorun şifre kontrolü daha hesap kurulumunda daha yatıyor.
  • İki faktör authenitication kullanılması şifre şifreleme daha zeki yollarla çok daha güvenlidir
  • Kendi giriş formunu ya da şifrelerin veritabanı depolama uygulamaya çalışıyorum Do NOT veri depolanan sürece Hesap oluşturma sırasında değersiz ve kendini üretilen olduğunu (yani, Facebook gibi web 2.0 tarzı Flickr vb)

    1. Özet kimlik doğrulaması bile güvenli bir kanal üzerinden bir şifre göndermez tüm büyük tarayıcılar ve sunucular desteklenen standart temelli bir yaklaşım vardır.

Bu iletişimi her zaman yeniden şifreler tarayıcısı kendisi kadar "oturumları" veya çerezleri ihtiyacını önlemekte. Bu en "hafif" kalkınma yaklaşımıdır.

Ancak, ben kamu, düşük değerli hizmetler hariç, bu önermiyoruz. Bu yukarıdaki diğer bazı yanıtlar ile bir konudur - Bir tekrar uygulamasını sunucu tarafı authetication mekanizmalarını kalkmayın - bu sorun çözüldü ve en büyük tarayıcıları tarafından desteklenmektedir. çerezleri kullanmayın. Kendi elle sarılmış veritabanında şey koymayınız. istek autheticated duyarsanız, sadece istek başına, sorun. Her şey yapılandırma ve üçüncü taraf güvenilen yazılım tarafından desteklenmelidir.

Yani ...

İlk olarak, sonradan şifre yeniden denetimi ile (bir şifre ile) bir hesabın ilk oluşturulmasını kafa karıştırıcıdır. Ben Flickr benim ve ilk defa sitenizi oluştururken, yeni kullanıcı sıfır değerine (boş web alanı) erişimi var. Hesap oluşturarak kişinin adının hakkında yalan eğer gerçekten umurumda değil. Ben hastane intranet / extranet bir hesap oluşturma, değer tüm tıbbi kayıtlar yatıyor ve bu yüzden do hesap yaratıcısının kimliği (*) önemsiyorum.

Bu çok çok zor bir parçasıdır. Sadece iyi çözüm güven ağıdır. Örneğin, bir doktor olarak hastaneyi katılmak. Eğer fotoğrafın, pasaport numarası ve bir genel anahtar ile bir yerde barındırılan bir web sayfası oluşturmak ve özel anahtarla hepsini karma. Daha sonra hastaneyi ziyaret edip sistem yöneticisi, pasaport bakar fotoğraf sizi eşleşirse görür ve sonra hastane özel anahtarla web sayfası / fotoğraf karma sağlamalarının. Bundan böyle ucu anahtarları ve belirteçleri alışverişi yapabilir. Hastaneden güvenen teneke herkes gibi (BTW gizli sos yoktur). Sistem yöneticisi ayrıca bir verebilir RSA dongle'ını veya diğer iki faktörlü kimlik doğrulama.

Ama bu olduğunu çok güçlük değil, çok web 2.0. Ancak, kendi yarattığı değil değerli bilgilere erişimi, yeni hesap yalnızca güvenli yoldur.

  1. Kerberos ve SPNEGO - güvenilir bir üçüncü tarafla mekanizmaları üzerinde tek oturum - temelde kullanıcı güvenilir bir üçüncü parti karşı doğrular. (NOT: Bu güvenilmez hiçbir şekilde değildir OAuth )

  2. SRP - güvenilen bir üçüncü taraf olmadan akıllı şifre doğrulaması tür. Ama burada "o costlier olsa bile, bu iki faktör kimlik doğrulamasını kullanmak daha güvenlidir" alemlerine alıyorsanız

  3. SSL istemci tarafı - müşterilerine bir ortak anahtar sertifikası vermek (tüm büyük tarayıcılarda destek - ama istemci makine güvenliği üzerinde sorular ortaya).

Daha güvenli yaklaşımları uygulayan maliyeti vs bir güvenlik ihlali maliyeti nedir - Sonunda bir değiş tokuş. Bir gün, biz düzgün görebilirsiniz PKI haddelenmiş kimlik formları ve veritabanları yaygın kabul gören ve dolayısıyla daha kendi. Bir gün...

Cevap 08/08/2011 saat 17:29
kaynak kullanıcı

oy
48

karma zaman böyle MD5 (birçok donanım uygulamaları var) kadar hızlı karma algoritmalar kullanmayın. SHA-512 gibi bir şey kullanın. Şifreler için, yavaş karmaları iyidir.

Ne kadar hızlı karmaları oluşturabilir, daha hızlı herhangi kaba kuvvet denetleyicisi çalışabilir. Yavaş karmaları nedenle kaba zorlayarak yavaşlayacaktır. Yavaş karma algoritması artık şifreler için pratik kaba zorlayarak yapacak (8 basamaklı +)

Cevap 09/08/2011 saat 00:07
kaynak kullanıcı

oy
46

gerçekçi şifre gücü tahmini hakkında iyi bir makale:

Dropbox Teknoloji Blogu »Blog Arşivi» zxcvbn: gerçekçi şifre gücü tahmini

Cevap 08/11/2012 saat 12:15
kaynak kullanıcı

oy
41

Açısından sevdiğim kural sistemleri kimlik doğrulama: passphrases değil şifreler kullanın. Kırılması zor, hatırlamak kolay. Daha çok bilgi: Kodlama Korku: Şifreler Geçiş Deyimler vs

Cevap 24/11/2012 saat 22:15
kaynak kullanıcı

oy
20

Ben derinlemesine savunma dayalı, ben kullandım bir öneri eklemek istiyorum. Düzenli kullanıcılar olarak yöneticiler için aynı yetkilendirme ve kimlik doğrulama sistemine sahip gerekmez. Sen yüksek yetkileri vermek olacaktır istekleri için ayrı kod yürütme ayrı url üzerinde ayrı bir giriş formu olabilir. Bu bir normal kullanıcılar için tam bir ağrı olurdu seçimler yapabilirsiniz. Kullandığım böyle biri aslında yönetici erişimi için giriş URL'sini mücâdele ve Admin yeni URL'yi e-postayla göndermektir. Yeni URL keyfi zor (çok uzun rastgele string) olabilir ancak yönetici kullanıcının sadece rahatsızlık kendi e-postadaki bağlantıyı takip ediyor olarak hemen her kaba kuvvet saldırısı durdurur. Hatta POST nereye saldırganın artık biliyor.

Cevap 18/07/2015 saat 01:18
kaynak kullanıcı

oy
12

Ben dont't bir cevap olarak veya yorum olarak bu cevaplamak için iyi olup olmadığını biliyorum. İlk seçenek için seçti.

Poing İlişkin BÖLÜM IV: Unutulan Şifre İşlevselliği ilk cevap, ben saldırılar Zamanlama ile ilgili bir nokta yapar.

In hatırla şifre formları, bir saldırganın potansiyel e-postaların tam listesini kontrol edin ve sistemin (aşağıdaki bağlantıya bakınız) kayıtlı olan tespit olabilir.

Unutulan Şifre Formu ile ilgili olarak, yine de biraz gecikme fonksiyonu ile başarılı ve unsucessful sorgular arasındaki kez eşit iyi bir fikir olduğunu eklemek istiyorum.

https://crypto.stanford.edu/~dabo/papers/webtiming.pdf

Cevap 16/08/2015 saat 17:31
kaynak kullanıcı

oy
10

Bir çok önemli yorum eklemek istiyorum:

  • "Bir de kurumsal, içi net bir ortamda," En değilse yukarıdakilerin hepsi geçerli olmayabilir!

Birçok şirket web siteleri, etkili olur "kurumsal uygulamalar" URL'ler üzerinden uygulanmıştır etmek olan "sadece dahili kullanım" dağıtın. Bu URL'ler olabilir (sözde ...) sadece içinde çözüme "şirketin iç ağa." (Hangi ağ sihirli tüm VPN bağlantılı içerir 'yol savaşçılar.')

Bir kullanıcı daha önce bahsedilen ağa aldatılan-bağlandığında, kimlik ( "doğrulama") kendi izni olduğu gibi [zaten ...] "kesin, bilinen" dir ( "yetkilendirme") gibi bazı şeyleri ... yapmak. .. "Bu web sitesine erişmek için."

Bu "kimlik doğrulama + yetkilendirme" hizmet LDAP gibi birçok farklı teknolojiler ile sağlanabilir (Microsoft OpenDirectory) veya Kerberos.

Sizin bakış-of-görünümünden, sadece bu biliyorum: o kimse meşru web sitenize-rüzgarlar kadar olmalıdır "belirteç" a [bir çevre değişkeni sihirli ... içeren] eşlik ( Örneğin, bu tür bir belirteci olmaması için hemen gerekçesiyle olmalıdır 404 Not Found.)

Jetonun değeri size hiçbir mantıklı ama ihtiyaç herhangi biri hakkında "[yetkili] (vb LDAP ...) bilen birine sormak" web-sitesi hangi tarafından "uygun araçlar var", doğması halinde (ve her !) olabilecek bir soru. Başka bir deyişle, do not boşuna kendinizi herhangi "ev yapımı mantık." Bunun yerine, Kurumu sorgulamak ve örtük kararını güven.

Ah ha ... bu oldukça bir zihinsel-anahtarı "yünlü vahşi ve-Internet."

Cevap 29/04/2015 saat 01:06
kaynak kullanıcı

oy
5

Kullanın OpenID Connect veya Kullanıcı Tarafından Yönetilen Erişim .

Hiçbir şey olduğu gibi hiç yapmıyorum daha etkilidir.

Cevap 10/08/2016 saat 13:27
kaynak kullanıcı

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more