Posts with tag Prohlížeče
Jak na "remember me" funkci u přihlašování
Pojďme se dnes podívat, jakým způsobem implementovat uživateli oblíbenou funkci "zapamatuj si mé přihlášení", anglicky většinou "remember me".
Nemusím asi zdůrazňovat, že chybná implementace takové funkčnosti může mít nedozírné následky. A protože nechceme znovu vymýšlet kolo, podíváme se na osvědčený způsob, který při správné implementaci nesníží bezpečnost autentizace, která je jedním z kritických faktorů bezpečnosti systému.
Základem bude pochopitelně cookie v prohlížeči, který se bude poprvé generovat při úspěšném přihlášení klasickou metodou (zadání uživatelského jména a hesla). Bude obsahovat pouze uživatelské jméno a token (náhodný hash o dostatečné délce, což je dnes 128bitů - tedy sha1 na velmi náhodné číslo by mělo stačit).
Aplikace si na druhé straně tuto tabulku dvojic uživatelské jméno-hash uchovává. Při příchodu neautentizovaného uživatele jeho prohlížeč zašle místo přihlašovacích údajů uloženou cookie užitelské jméno-hash. Pokud je zaslána cookie, která se v tabulce nachází, autentizace proběhla v pořádku a je obratem vygenerována nová dvojice, přičemž předchozí je invalidována. Tím se zamezí opětovnému použití dvojice útočníkem pomocí útoku typu reply. Dvojice jsou navíc invalidovány i po uplynutí rozumného času, například 8mi týdnů.
Dále si musíme uvědomit, co se stane, když se k takové databázi dostane útočník. Teoreticky by měl přístup ke všem účtům, u kterých uživatel kdykoliv v minulosti použil funkci "remember me", což samozřejmě nesmíme připustit. Stejně jako hesla musíme proto tokeny prohnat ještě jednou hashovací funkcí, potom zneužití údajů nehrozí ani při získání celé databáze.
Zdroje:
http://jaspan.com/improved_persistent_login_cookie_best_practice
http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
add comment
view posted comments (0)
Jak zjistit, o jaký font se jedná
Narazil jsem na zajímavé řešení problému, který občas trápí nejednoho webdesignéra - jak zjistit jméno fontu z obrázku. Pokud máte data v dostatečném rozlišení, utilitka WhatTheFont může pomoci.
Po uploadu obrázku nabídne několik nejpravděpodobnějších variant fontů a vedle pro srovnání ten váš hledaný. Nástroj nefunguje sice stoprocentně, ale i tak se může hodit.
CSS v akci ve čtyřech dílech
Zaoblené rohy, stíny, transformace - to vše bude při tvorbě webu hračkou, jakmile se usadí nová verze CSS3.
Amber Weinberg z Nashvillu je nejen pohledná, ale i šikovná web developerka a bloggerka. V poslední době završila svojí čtyřdílnou sérii článků na téma CSS, které jsou doplněny příklady a obrázky výsledných efektů. V posledním dílu nahlíží i na nejnovější specifikaci CSS ve verzi 3.
Zajímavý přehled CSS a náhled do blízké budoucnosti webu najdete na:
http://spyrestudios.com/css-in-depth-margins-padding-the-box-model/
http://spyrestudios.com/css-in-depth-floats-positions/
Služba jsFiddle není žádný švindl
Web jsFiddle nabízí zajímavý nástroj pro vývoj, testování nebo demonstraci Javascriptu v praxi.
Fiddle sice znamená česky podfuk, na stránkách jsFiddle.net vás ale žádný podvod nečeká. Najdete tam jednoduché rozhraní, kde můžete editovat HTML, CSS a Javascript jednoduché stránky. Vložíte pouze funkční kód, o zbytek se postará aplikace, a výsledek vidíte v posledním, čtvrtém okně.
Než abych tu sáhodlouze popisoval, jak to všechno funguje, vyzkoušejte raději následující odkaz: http://jsfiddle.net/LTm4K/.
Uživatelské rozhraní neobsahuje nic navíc, je intuitivní a spolu s vychytávkami jako zvýrazňovač syntaxe, propojení se sociálními službami atd. se mi jeví jako ideální nástroj zejména pro demonstraci Javascriptových kódů.
Webů je v Česku napadeno překvapivě mnoho
Jak se dostane vir do vašich webových stránek a kolik je u nás napadených webů? Udělal jsem si takový malý, soukromý průzkum.
Jak to začalo. Při indexaci některých českých stránek (proč jsem to dělal vám říkat nebudu), kterých bylo řádově tisíce, jsem si všiml zajímavého jevu. Můj antivir AVG 9 mi každou chvíli hlásil napadenou stránku. Před pár lety věc velmi neobvyklá, nicméně dneska stále častější způsob šíření malwaru.
Ze zhruba 4600 stránek bylo napadeno 62, tedy nějakých 1.3% a to není málo. Z toho jednou se jednalo o exploit Fragus, jednou o exploit typu script injection, dvakrát o exploit MDAC ActiveX čtyřikrát o Liberty exploit, desetkrát o nebezpečný Javascript a v ostatních případech byl na stránce exploitovaný odkaz na známé, nebezpečné stránky.
Nastíním ve zkratce motivaci útočníka. Ten má většinou za cíl dostat svůj škodlivý software (malware) na co nejvíce počítačů a z nich udělat botnety, tedy počítače ovládané na dálku a páchající nějakou nekalost, aniž by si to uživatel uvědomil.
Pokud svůj exploit dostane na nějaké hojně navštěvované stránky (například ty vaše), jsou potenciálně napadeni všichni vaši návštěvníci. Dost z nich má sice firewall, ale ten je jim k ničemu, neboť komunikace probíhá stejně jako klasické načítání stránek. Zabránit napadení může jen aktualizovaný prohlížeč (zejména IE) a antivir, antispyware nebo jiný program, speciálně k tomu účelu navžený (samozřejmě také aktualizovaný).
Ne všem ale vlastní bezpečnost dělá vrásky a tak je nemalá část návštěvníků napadena. Takže suma sumárum, útočníkovi se napadení webových stránek sakra vyplatí.
Teď jak na to? Existuje samozřejmě více cest, například využít nějakou známou zranitelnost konkrétní webové aplikace, zkusit uhodnout slabá hesla na FTP nebo nějakým způsobem heslo k FTP ukrást (opět pomůže nějaký exploit, vir, atd.)
Jaké jsou tedy rady?
- používejte aktualizace (ať již jde o antivir, prohlížeč, operační systém)
- firewall taky není k zahození
- hesla používejte generovaná (kvůli slovníkovým útokům)
- hesla mějte dostatečně dlouhá (8 znaků je naprosté minimum)
- v počítači si hesla ukládejte šifrovaně (výborná aplikace pro tento účel je KeyPass)
- nenechávejte hesla jen tak ležet na nespolehlivých místech (například ukládání v Total Commanderu je dost nebezpečné)
- zálohujte
- zkrátka budťe opatrní :)
