authentication ב - express

Reply to authentication ב - express on Tue, 12 Mar 2019 19:51:51 GMT

upsilon01 — Tue, 12 Mar 2019 19:51:51 GMT

https://he.wikipedia.org/wiki/תקן_PCI_DSS#משמעות_PCI_עבור_עסקים

Reply to authentication ב - express on Mon, 11 Mar 2019 08:34:38 GMT

upsilon01 — Mon, 11 Mar 2019 08:34:38 GMT

@WWW
שליחה במייל מן הסתם לא עומדת בתקן האבטחה
בפרט עם שלחת את 3 הספרות בגב הכרטיס(שחל איסור מוחלט לשמור אותם)

Reply to authentication ב - express on Sun, 10 Mar 2019 19:18:08 GMT

clickone — Sun, 10 Mar 2019 19:18:08 GMT

@WWW
להבנתי רק אם תהיה פריצה.
אחרת אין להם דרך להוכיח שחרגת. (לכאורה גם אם יש דרך לא יהיה קנס כל עוד שלא הייתה פריצה בפועל)

Reply to authentication ב - express on Sun, 10 Mar 2019 19:11:02 GMT

WWW — Sun, 10 Mar 2019 19:11:02 GMT

@clickone אמר בauthentication ב - express:

זה חורג מהתקן.
ולכן יהיה קנס.

ללא שייפרץ?

Reply to authentication ב - express on Sun, 10 Mar 2019 17:10:57 GMT

clickone — Sun, 10 Mar 2019 17:10:57 GMT

@WWW
זה חורג מהתקן.
ולכן יהיה קנס.

Reply to authentication ב - express on Sun, 10 Mar 2019 16:20:05 GMT

WWW — Sun, 10 Mar 2019 16:20:05 GMT

@clickone אמר בauthentication ב - express:

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

גם אם ההוא שולח למייל של מישהו אוטומטית את פרטי האשראי שההוא יבצע סליקה?

Reply to authentication ב - express on Sun, 10 Mar 2019 12:23:12 GMT

clickone — Sun, 10 Mar 2019 12:23:12 GMT

@מנצפך
@WWW
עקרונית אין איסור לשמור, יש איסור שתהיה דליפה.
ז"א, לא יחול קנס במידה ושמרת, כל עוד לא התבצעה דליפת נתונים

מועצת PCI מעודדת עסקים המאחסנים נתוני אשראי לעמוד בתקן כדי להפחית סיכונים העלולים לגרום לפגיעה כספית כתוצאה מדליפת נתונים, אך היא אינה בעלת סמכות אכיפה של התקן. חברות האשראי הן המחזיקות בכוח לקבוע נהלים, לוחות זמנים ודרישות לעמידה בתקן. חברות האשראי כי החל מתחילת 2013 כל חברה המבצעת חיובים בכרטיסי אשראי תידרש לעמוד בתקן. חברה שתתקיים אצלה דליפה של נתוני אשראי ואשר לא עמדה בתקן תעמוד בפני מגבלות וקנסות מצד חברות האשראי.

https://www.hamichlol.org.il/תקן_PCI_DSS
ככה הסביר לי גם בעבר יועץ שייעץ לוועדה של זה בכנסת (כיום הא סמנכ"ל באחת מחברות הסליקה)

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

Reply to authentication ב - express on Sun, 10 Mar 2019 12:04:41 GMT

מנצפך — Sun, 10 Mar 2019 12:04:41 GMT

@clickone
@WWW

אסור לשמור.
מה השאלה.
צריך אישורים ותקנים וזה עולה לא זול בכלל...

מותר נראה לי רק טוקן ותאריך.

Reply to authentication ב - express on Sun, 10 Mar 2019 11:56:51 GMT

WWW — Sun, 10 Mar 2019 11:56:51 GMT

@clickone אמר בauthentication ב - express:

אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.

בטוח?
יש איזה תקן אבטחת מידע שצריך לעמוד בו, לא?

Reply to authentication ב - express on Fri, 08 Mar 2019 13:54:13 GMT

clickone — Fri, 08 Mar 2019 13:54:13 GMT

@יוסף-בן-שמעון אני לא חושב שזה לא חוקי לשמור סיסמאות בDB.
(אא"כ יש לך נתונים כספיים באתר וגם אז לא בטוח)
אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.
ברגע שפרצו לך אז זה הופך לפלילי. (בנתוני אשראי)

מה שכן, כתבת בצדק מאד, שזה לא חכם וגם לא אתי כלפי לקוח הקצה שמפיק בידיים שלך סיסמא (בהרבה פעמים היא הסיסמא הקבועה שלו )

Reply to authentication ב - express on Fri, 08 Mar 2019 09:30:29 GMT

יוסף בן שמעון — Fri, 08 Mar 2019 09:30:29 GMT

אל תשמור סיסמאות ב DB זה גם לא חוקי ועלול לחשוף אותך לתביעות אם המידע יזלוג החוצה, וגם בגלל האחריות כלפי הקליינט שמפקיד את הסיסמה שלו אצלך והוא לא היה רוצה שכל מי שיש לו גישה לשרת יראה את הסיסמה שלו. יש מחלקות בנוד שמגבבות סיסמאות, יש כאן כמה מדריכים לעבוד עם סיסמאות
https://video-tov.ml/?tag=Passport.js&page=1

Reply to authentication ב - express on Fri, 08 Mar 2019 09:27:33 GMT

יוסף בן שמעון — Fri, 08 Mar 2019 09:27:33 GMT

אתה צריך ליצור טבלה של יוזרים עם שם מייל סיסמה הרשאות ושאר ירקות, ובעמוד של login להגדיר בשביל פספורט את הפונקציה שמקבלת את המידע של ה login ובודקת אותו עם הטבלה של היוזרים, ולהגדיר ג"כ מה קורה במקרה של הצלחה וכישלון של login, ופה בערך מסתיים התפקיד שלך, אם הכניסה הצליחה פספורט שומר את זה בטבלה של הסשנים, ובכל בקשה של הקליינט אתה יכול לגשת לנתונים של הקליינט באובייקט req, משהו כזה:

req.session.passport.user.name

Reply to authentication ב - express on Fri, 08 Mar 2019 09:18:04 GMT

יוסף בן שמעון — Fri, 08 Mar 2019 09:18:04 GMT

אין לי ניסיון ברדיס, אבל אני לא מבין למה צריך לשמור סשנים בזיכרון חי, זה מועד לפורענות של דליפת זיכרון, ואם אתה מאתחל את המכונה כל הסשנים נמחקים והקליינט לא מבין למה הוא צריך להכניס עוד פעם סיסמה אחרי שכבר הכניס לפני שעתיים.
אקספרס סשנ'ס יודע לעבוד עם הרבה סוגי DB, אתה לא צריך לייחד DB מיוחד עבור הסשנים, רק תגדיר לו את הגדרות החיבור לDB הכללי והוא כבר ידאג ליצור טבלה וכל מה שצריך

Reply to authentication ב - express on Thu, 07 Mar 2019 19:47:13 GMT

מנצפך — Thu, 07 Mar 2019 19:47:13 GMT

@dovid תודה.
מה שנראה לי נכון לעבוד עם express-session. ולאחסן את הסשנים ב redis.

מה אומרים?

עדיף DB אחר?

Reply to authentication ב - express on Thu, 07 Mar 2019 19:45:54 GMT

dovid — Thu, 07 Mar 2019 19:45:54 GMT

זה שתי דברים שונים,
express-session מטפל נטו בסשן - כלומר אחראי לשמירת מידע שצד שרת ואחזורו בכל בקשה לפי הקוקיס.
passport מטפל בכל מה שנוגע לאוטנטיקציה שזה כולל את כל ההביטים של זיהוי משתמשים וכניסה באמצעות רשתות חברתיות וכו'.
אני לא יודע איך passport שומר את המידע לאורך השסן.

Reply to authentication ב - express on Thu, 07 Mar 2019 18:06:37 GMT

יוסף בן שמעון — Thu, 07 Mar 2019 18:06:37 GMT

@מנצפך אמר בauthentication ב - express:

לפרספורט אין מערכת סשנים עצמית, הוא צריך מערכת שדואגת לשמור את הסשנים, ובשלב האימות צריך לשלוף את מזהה הסשן, אתה צריך גם express-session וגם passport