קבצי ימות המשיח, הגנה על הטוקן
-
@לעזור-לכולם כתב בהשמעת audio בphp כשהמקור הוא קובץ להורדה (ימות המשיח) וניתן לראות בקונסול את הבקשה:
(עם תוקף של שעה)
אין תוקף של שעה, יש תפוגה אחרי שעה ללא שימוש בטוקן, ועם טוקן בימות אפשר לעשות כל דבר חוץ מלהחליף סיסמה, ואם כל פחות משעה תשלח איתו קריאה לAPI הוא לא יפוג אף פעם
אין דרך לאבטחה אמיתית בלי להעביר את הקובץ דרך השרת -
פוסט זה נמחק!
-
אני רק מבהיר הפחד הגדול שלי הוא ממתכנתים
בגדול אבטחתי כמעט את כל המערכת וזה הנקודה שאני עוד לא שלם איתה -
@צדיק-תמים כתב בקבצי ימות המשיח, הגנה על הטוקן:
ואם כל פחות משעה תשלח איתו קריאה לAPI הוא לא יפוג אף פעם
רשמית.
דה פקטו זה לא בדיוק נכון, אני שמתי לב שבכל מוצ"ש בד"כ, יש איפוס או יותר נכון זמן שהמערכת לא זמינה ואז הטוקן מתאפס
-
@אביי כתב בקבצי ימות המשיח, הגנה על הטוקן:
דה פקטו זה לא בדיוק נכון, אני שמתי לב שבכל מוצ"ש בד"כ,
אם זה נפק''מ למישהו זה קורה בשעה 11 בליל שבת
-
@טוב-להודות כתב בקבצי ימות המשיח, הגנה על הטוקן:
אני רק מבהיר הפחד הגדול שלי הוא ממתכנתים
בגדול אבטחתי כמעט את כל המערכת וזה הנקודה שאני עוד לא שלם איתהאפשר הסבר איזה סוג מערכת אתה בונה?
ולמה אתה אמור לפחד ממתכנתים ? -
@טוב-להודות אם הפחד שלך הוא ממביני עניין, אז אין שום דרך להגן על זה ללא שרת מתווך, ואם יש שרת מתווך, אז כבר לא צריך שום הגנה לטוקן, כי המשתמש יקבל רק את הקובץ מהשרת שלך..
אולי יום אחד ימות ישתדרגו ויעשו מערכת לניהול טוקני התחברות עם הרשאות מוגבלות , לדעתי זה לא ממש מסתדר מבחינה רעיונית, כי אין אצל ימות "חשבון משתמש" אלא כל מערכת היא בנפרד... אלא רק אם ישנו את הקונספט שלכל מערכת יהיה חשבון משתמש אב שאליו תשוייך המערכת, כמו שעושים בריסיילרים של ימות..
-
הפחד שלי היה שעדיין מישהו יראה את הנתיב נשלח לקובץ שמוריד
וינסה לשלוח נתיבים אחרים להורדה -
@טוב-להודות כתב בקבצי ימות המשיח, הגנה על הטוקן:
הפחד שלי היה שעדיין מישהו יראה את הנתיב נשלח לקובץ שמוריד
וינסה לשלוח נתיבים אחרים להורדהאם אתה תקבל נתיב, ואותו תוריד דרך השרת שלך, עדיין הוא יוכל להוריד את כל המערכת בעיקרון
זה לא יפתור את הבעיה הזאת -
תודה לכם
לעת עתה הגבלתי את זה ע''י הקוקיז ועוד כל מיני הגבלות מסוימות