Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #11 (permalink)  
Старый 26.07.2017, 17:10
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Сообщение от laimas Посмотреть сообщение
Если не касается безопасности (а ваш подход небезопасен), остается удобство: для организации - необходимость (может быть), для рядового пользователя - слишком много мороки
Да, тут всегда противоречие между безопасностью и удобством. Однако давайте сравним телодвижения при авторизации:
1. нужно ввести логин, нужно ввести пароль, нажать кнопку "OK" - много нажатий на клавиатуре, чего большинство не любит (?!).
(не беру в расчет тех, у кого логин/пароль запомнен в браузере, потому как такие просто не "выходят" с сайта, т.е. не закрывают сессию)
2. нужно нажать мышкой кнопку input file, потом "OK". при использовании методики HTML5- просто перетащить файл из одного окна в другое на страницу сайта. кстати, о флэшке я пишу потому что "так требуется", но уверен, что половина пользователей будет сохранять файл на рабочем столе или в папке "Мои Документы".
Так в каком варианте пользователю удобнее??

Сообщение от laimas Посмотреть сообщение
Только клиент и сервер знают о закономерностях расположения ячеек изображения
Это плохо, т.к. незнание алгоритма считается очень слабой защитой. рано или поздно алгоритм шифрования (или размещения чего-то в чем-то станет известен). Другое правило гласит, что в ключе/пароле/etc ни должно быть никакой логики, никакой закономерности, никаких данных типа ID... - только "белый шум". Соответственно мне кажется что предлагаемый мною вариант удовлетворяет этим требованиям.

Забегая немного вперед, скажу, что я тоже думал об использовании фото. Но это в основном для пользователей смартфонов. В данном случае сервер не будет присылать спецфайл. Пользователь сам делает свое "селфи" на камеру и отсылает на сервер в качестве своего идентификатора. Никакой речи о распознавании образов. Просто хеш файла сверяется с хешем в базе данных. Фотографировать не обязательно лицо. Можно кактус или орхидею.. Главная проблема, чтобы потом пользователь не запостил эту же фотку в Инстаграм!
Идея вполне осуществима, но.. меня терзают смутные сомнения
Ответить с цитированием
  #12 (permalink)  
Старый 26.07.2017, 17:27
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Наблюдение за механизмом SMS-паролей.
Для тех сервисов, которые присылают пароль в SMS как вы думаете как поступает большинство? Наверное кажется, что они должны сменить пароль на сайте, удалить SMS... - нет! в моем окружении никто так не делает. Что интересно, (читал сообщения от пользователей) пишут: извините, я разбила телефон; у меня украли телефон; ... и теперь у меня нет SMS-пароля! Не могли бы вы мне выслать новый SMS-пароль?
Вот так вот. Так если пользователи хранят эти смски (и чистят только в случае переполнения памяти), то почему бы не хранить на телефоне файл-пароль?
Ответить с цитированием
  #13 (permalink)  
Старый 26.07.2017, 17:58
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Маэстро
Однако давайте сравним телодвижения при авторизации
Тут не столько о количестве вводимого и вообще операциях, можно и "запомнить", а как раз об "удобстве", а удобно когда все под рукой. Вот в данном случае почему бы не хранить на телефоне файл-пароль?, это куда имеющее более шансов "жить" решение, чем хранение на флешке. Да если еще при этом пользователь бы не задумывался, файл должен браться и отправляться автоматически, но это противоречит безопасности. А щелкать, искать по папкам открывая их, это тоже ведь не ахти какое увеселительное действие.

А так бы было все хорошо, для входа с настольного компьютера, достаточно чтобы телефон был в зоне досягаемости WI-FI. Но опять таки, на компьютере должна быть либо карта либо внешнее WI-FI решение.

Сообщение от Маэстро
Пользователь сам делает свое "селфи" на камеру и отсылает на сервер в качестве своего идентификатора.
Есть информация, что банки будут внедрять такое, но конечно же это будет распознавание. А Просто хеш файла сверяется с хешем в базе данных, это как если сегодня я выгляжу так, а завтра не доспал и опух?

Сообщение от Маэстро
правило гласит, что в ключе/пароле/etc ни должно быть никакой логики, никакой закономерности
А ее и не было, сервер знает какой вес значений ячеек является информацией, а какие и есть шум. Я же говорю, что и не стали морочится с алгоритмом - перехватили и с этим вошли, стало понятно по отправке одного и того же "отпечатка", чего не должно было быть.
Ответить с цитированием
  #14 (permalink)  
Старый 26.07.2017, 18:21
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Сообщение от laimas Посмотреть сообщение
Вот в данном случае почему бы не хранить на телефоне файл-пароль?, это куда имеющее более шансов "жить" решение, чем хранение на флешке.
-под "флэшкой" я подразумевал внешний носитель информации. а смартфон он сам уже и есть и компьютер, и "внешний носитель".

Сообщение от laimas Посмотреть сообщение
Да если еще при этом пользователь бы не задумывался, файл должен браться и отправляться автоматически, но это противоречит безопасности.
-проблема в том, что на смартфоне так и получается: например, на моем самсунге нет какого-то навороченного файлового менеджера. я (честно) не знаю даже как на нем файлы переименовывать. поэтому файл с сервера упадет в легкодоступное место и будет иметь имя "PASSWORD" или "Переименуйте меня", что достаточно легко может быть подсмотрено другим лицом..

Сообщение от laimas Посмотреть сообщение
А щелкать, искать по папкам открывая их, это тоже ведь не ахти какое увеселительное действие.
-ну лично я бы положил свой файл-пароль вглубину какого-то дерева каталогов (которое я всегда хорошо помню), во всяком случае не в корень C:\ - и мне не трудно взять этот файл оттуда, чтобы 1 раз загрузить его на сервер для авторизации (потом будет работать кука)

Сообщение от laimas Посмотреть сообщение
А так бы было все хорошо, для входа с настольного компьютера, достаточно чтобы телефон был в зоне досягаемости WI-FI. Но опять таки, на компьютере должна быть либо карта либо внешнее WI-FI решение.
-даа.. но во мнгих в корпорациях это запрещено. но вы натолкнули на мысль: смартфон можно подключать по USB-кабелю. кстати, многие его тупо заряжают от USB компа. но в банках и это запрещено.

Сообщение от laimas Посмотреть сообщение
А Просто хеш файла сверяется с хешем в базе данных, это как если сегодня я выгляжу так, а завтра не доспал и опух?
-Вы не поняли. при регистрации на сайте пользователь делает фото (например, своей кошки) cat.jpg и отсылает на сервер. на сервере производится (в простейшем случае) md5() содержимого cat.jpg и сохраняется в базе данных. При входе в следующий раз на сайт неавторизованный пользователь должен отправить ТОТ ЖЕ САМЫЙ файл cat.jpg, а не фотографировать беременную кошку снова.
Системы распознавания образов (идентификации лиц) наименее защищенные. Перед объективом можно поставить фото Клиента и большинство систем сработают положительно. Другое дело - отпечаток пальца (направление в Айфонах) и анализ радужной оболочи глаза (иридодиагностика). Однако пока такие датчик не будут распространены как сейчас хотя бы вебкамеры - об их массовом использовании говорить рано.
Ответить с цитированием
  #15 (permalink)  
Старый 26.07.2017, 18:39
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

laimas,
если говорить не об удобстве, а о степени защищенности двух подходов (1.логин/пароль; 2-только файл-ключ), то Вы можете четко сказать, чем второй вариант хуже?
Я рассуждаю так: логин - это номер телефона или email, т.е. 10-20 практически несекретных символов, плюс 5-10 типо секретных символов пароля. Файл-ключ содержит 1024 символа случайной последовательности. Чем же второй вариант хуже первого?
Даже методом перебора и загрузки разных файлов на сервер со случайной текстовой последовательностью второй вариант на три порядка надежнее. В остальном они вроде бы равны.
Ответить с цитированием
  #16 (permalink)  
Старый 26.07.2017, 19:03
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Маэстро
ну лично я бы положил свой файл-пароль вглубину какого-то дерева каталогов (которое я всегда хорошо помню), во всяком случае не в корень C:\
Ну так это надо еще и инструкцию написать "куда и что, чтобы...", но если у многих пользователей дерево каталога выглядит так:

Новая папка
    Новая папка
        Новая папка


при этом не помнят, что на них и по какому поводу создавалось. Какие инструкции могут быть.

В общем реальность покажет насколько это имеет право на существование.

Я предполагал, что речь идет о хеше единственного фото, но уж слишком это не серьезно, тут вообще никакой защищенности нет.

По поводу датчиков - системы видео наблюдения и программное распознавание (идентификация без всяких датчиков) уже работают, причем результаты приличны, а уж по фото тем более. На Хабре много статей по этому направлению, есть и о хеше.
Ответить с цитированием
  #17 (permalink)  
Старый 26.07.2017, 19:09
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Маэстро
ы можете четко сказать, чем второй вариант хуже?
Я не говорил ни разу, что одно лучше, другое хуже в контексте защиты, что первое, что второе не есть гарантия безопасности. А вот что предпочтительно будет использовать клиент, то тут вопрос, и здесь большую роль играет сила привычки, а они не всегда у человека "от разума", вы и сами таковые приводили, своего коллектива. Это и будет определяющим, я уверен в этом.
Ответить с цитированием
  #18 (permalink)  
Старый 26.07.2017, 19:13
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

Сообщение от laimas Посмотреть сообщение
Ну так это надо еще и инструкцию написать "куда и что, чтобы..."
- в нашей организации сотрудникам вообще запрещено держать файлы на своих компах. есть общий сетевой ресурс (диск) с папками. у каждого своя папка с доступом только ему. для таких случаев можно написать инструкцию: "храните файл в такой-то сберегательной кассе".
для домашних пользователей естественно никаких инструкций не будет. где хочет, там и ....

Сообщение от laimas Посмотреть сообщение
Я предполагал, что речь идет о хеше единственного фото, но уж слишком это не серьезно, тут вообще никакой защищенности нет.
-не понял.. не услышал ничего конкретного, почему это не серьезно? и что значит "единственного" фото? речь об одном файле, хеш которого хранится в базе, также как хранят хеши паролей, а не сами пароли.
Ответить с цитированием
  #19 (permalink)  
Старый 26.07.2017, 19:25
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Маэстро
почему это не серьезно?
Да по причинам которые уже были озвучены - Инстаграм, а ведь не только он один место злачное для "засветить себя любимую".
Ответить с цитированием
  #20 (permalink)  
Старый 26.07.2017, 19:36
Профессор
Отправить личное сообщение для Маэстро Посмотреть профиль Найти все сообщения от Маэстро
 
Регистрация: 02.07.2010
Сообщений: 642

laimas,
про Инстаграм понятно, про фото в самом начале своего поста я ничего и не писал. речь ведь идет о файле со случайной последовательностью, присланном с сервера.
мне не понятна вот эта фраза "Я предполагал, что речь идет о хеше единственного фото" (или файла?) а если файл не единственный, то что??
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Просмотр PDF на сайте без возможности скачать smegol Общие вопросы Javascript 12 18.02.2016 19:20
авторизация на сайте torsar Серверные языки и технологии 0 28.02.2015 12:30
Управление скроллом "а-ля тач" HonesT Элементы интерфейса 2 27.08.2013 14:25
Авторизация на "большом" и мобильном сайте iwasborntobleed Мобильный JavaScript 2 30.06.2013 11:35
Учебники бесплатно и без регистрации на сайте http://www.dec4.moy.bz dech Библиотеки/Тулкиты/Фреймворки 2 17.07.2009 14:00