דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי
💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
ח

חוקר

@חוקר
אודות
פוסטים
1.2k
נושאים
199
שיתופים
0
קבוצות
0
עוקבים
5
עוקב אחרי
0

פוסטים

פוסטים אחרונים הגבוה ביותר שנוי במחלוקת
  • אימות משתמשים וממשק ניהול בנוד
    ח חוקר

    @dovid אמר באימות משתמשים וממשק ניהול בנוד:

    יש בעיה שלקוח "ינחש" שסנים אחרים

    אם אני מבין הספריה של express-session היא ס"ה להקל על הניהול של העוגיות, אבל בסופו של דבר בקטע האבטחה של ה"לנחש" עדיין אנו באותו מקום שהוא יוכל לזייף את העוגיה של express-session ואז הוא שוב מקבל הרשאת גישה.
    או שיש כאן מנגנון הצפנה טוב יותר?

    עריכה:
    אני מבין שיש כן קצת יותר אבטחה, שהמשתמש לא יכול לדעת איזה נתונים אתה שומר עליו, כי אתה מאחסן את המידע בשרת, וא"כ למשל אם אתה רוצה לשמור שהוא מחובר למספר מוסד XXX הוא לא יידע זאת.
    אוקיי
    אבל לעצם האבטחה שמישהו יקבל גישה לא מורשית לשרת באמצעות זיוף עוגיה, על זה נראה לי שאני עומד באותו מקום כמו בעוגיה רגילה.
    תקן אותי אם אני טועה

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @חוקר אמר בישיבה על קברו, בלי סיסמא?:

    כבר לפני כמה שעות השלמתי את הפיתוח של סיסמא

    בס"ד בוצע עדכון גרסה בנדרים פלוס
    וכעת יש דרישת סיסמא
    b2a0b670-2597-4ee7-88a1-4de87e53f8d8-image.png
    מקווה שניתן לחזור לשגרה.
    בסופו של דבר זו הייתה קפיצה לא רעה לעמוקים, כעת כבר העשרתי את עצמי עם מנגנון חסימה..

    תכנות
  • אימות משתמשים וממשק ניהול בנוד
    ח חוקר

    @dovid
    ראשית תודה רבה על התגובה המפורטת והארוכה.!

    @dovid אמר באימות משתמשים וממשק ניהול בנוד:

    express-session.

    אם אני מבין נכון (כך היה נדמה לי בניסוי מלמעלה), בכל הפעלה מחדש של השרת/אפליקציה זה מתאפס.
    אני צודק?
    ולכן זה בעייתי בשבילי, ובעיקר בתקופת הבניה, בו אני מאתחל די הרבה את האפליקציה לאחר כל שינוי.

    תכנות
  • אימות משתמשים וממשק ניהול בנוד
    ח חוקר

    עבור ממשק ניהול שאני בונה ללקוחות. (עד כה השתמשתי בפריימוורק PHP בשם YII2, וכעת אני רוצה משהו מתחילה עד הסוף לבד, בצורה של html+js סטטי קבוע, וכל הפעולות מבוצעות על ידי API שהוא בשרת ב nodejs).
    לכל משתמש יש שם משתמש וסיסמא.
    מנהל יכול לנהל מספר מוסדות שרשומים בחשבונו.
    משתמש רגיל יוכל לנהל רק את המוסד עליו הוא אחראי.
    ישנם רמת הרשאות לכל משתמש מה הוא יכול לעשות.

    אשמח לכיון מה הדרך הנכונה לפתח זאת.
    דהיינו:
    א. איך לבצע את האימות?
    אני חושב שהכיון אמור להיות, פונקציית הזדהות המקבל משתמש וסיסמא, וRememberMe, ויוצר עוגיה או כל היכר אחר המועבר ללקוח, ובכל שאר הקריאות הזיהוי מבוצע על ידי העוגיה.
    יותר מזאת, חשבתי לעשות טבלת סשנים עם עמודות: מזהה A_I, מזהה משתמש, טוקן הנוצר בצורה רנדומאלית וייחודית (חשבתי על זה), תאריך תפוגה, תאריך יצירה, תאריך שימוש אחרון. משהו כזה, ובכל התחברות מחדש אני יוצר טוקן, מוסיף לטבלה, ומחזיר ללקוח את הID של הטוקן + הטוקן, שיישמר בעוגיה.
    בכל שאר הפונקציות קריאה ועריכה וכו' אני בודק האם קיים עוגייה, האם הID והטוקן קיימים (בשורה אחת) וברי תוקף, ולפי זה מבצע את הפעולה.
    ופונקציית LogOut מוחקת או מאפסת את התוקף של הטוקן.
    רק שבזה אני מתלבט האם עלי לעשות איזה הצפנה כל שהיא לקריאה ויצירת העוגיה, האם ניתן לשלוח ללקוח ישירות את הטוקן והID כמות שהם, כי הם לא משקפים כלום, או שיש לחשוש שניתן לפענח את הרצף של הID והטוקן וכו', וא"כ יש להצפין כמה שיותר..

    לאחר שאימתתי כבר את המשתמש
    ב. איך לנהל את ההרשאות?

    1. יש לבדוק שיש לו הרשאת גישה למוסד זה.
    2. לבדוק שיש לו הרשאת גישה לטבלה/פונקציה זו (קריאה או עריכה).
      פחות או יותר רמות ההרשאה תהיינה שוות, משתמש רגיל יש לו הרשאות קריאה ל(מוסד בודד) כמה טבלאות לקריאה ועריכה, ולאחרים רק קריאה, ולאחרים ללא גישה כלל.
      משתמש מנהל יוכל לגשת לעריכה של יותר נתונים
      משתמש ראשי (אני או עובד שלי) יוכל לגשת לעוד יותר נתונים
      א"כ איך והיכן עלי לשמור את רמות ההרשאות?
      ליצור טבלת הרשאות שאני יכניס שם שמות של פונקציות/איזורים/שמות של טבלאות (??), ולכל משתמש לשמור בעמודה את רמת ההרשאה?
      ג. איך לשמור את הסיסמא אצלי? לכאורה היא צריכה להיות מוצפנת, אלא א"כ אני יצרתי אותה ושלחתי למשתמש סיסמא מוכנה (כך זה בדר"כ), וא"כ האם יש בעיה לשמור את הסיסמא גלוי? (כמובן שזה יותר קל לתחזק ולשחזר ולאמת) אחרת, באיזה סוג הצפנה להצפין בעת היצירה, ואיך בודקים להשוות בעת התחברות של לקוח?
      יישר כח
    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @chagold אמר בישיבה על קברו, בלי סיסמא?:

    @חוקר הדיון כאן כאילו אתה בטוח שהוא לא באקסלוסיבי.

    אני בטוח שיהיה מי שיגיד לו במידת הצורך. וד"ל
    למיטב זכרוני אני לא כתבתי כאן מילה אחת שאני משער מי זה. אולי רמזים.
    אך מה שכן יש לי רמז נוסף מי זה.
    בכל מקרה שמרתי את כל הלוגים.

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @www אמר בישיבה על קברו, בלי סיסמא?:

    אז לכאורה האשמה על ראשי ישיבה על קברו.

    זה לא מוריד את האשמה מהמתכנת, רק מסביר אותו.
    כי אם זה לא בסדר הוא לא אמור לאפשר זאת..

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    אגב.
    מה שכן ראיתי, שהשרת שלי מסוגל לעבוד ב200 בקשות בשניה ברצף של כמה שעות טובות, ללא שום קושי (מקסימום 40/200 CPU, וכמעט ללא תוספת צריכת ראם)
    הממוצע הרגיל לשניה אצלי ברוב שעות היום הינו בין 10-20

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @clickone אמר בישיבה על קברו, בלי סיסמא?:

    @חוקר
    לגבי הפיתרון של ה4 ספרות אחרונות, כעת אני חושב, שאם המאגר כבר דלף החוצה, והוא ירצה נתונים מעודכנים, אז אולי זה לא רעיון חכם.
    מצד שני אתה צריך לקוות שהוא לא הולך לשחרר את המאגר החוצה ואז אולי זה יותר קל.

    הסיפור של אבטחה של כזה דבר אכן מורכב, לאפשר פשטות ומצד שני ביטחון....

    למזלי הוא לא הספיק למשוך הרבה (1/9)
    אני יודע בדיוק מאיזה עד איזה מספר זהות הוא הספיק למשוך
    על קצב איטי הוא לא משך, כי יש לי תיעוד עם מספור לפי כניסות של IP.
    ומאידך כעת אין לי כל פיתרון לתת סיסמא ללא פרטים הקיימים במערכת, אין לי ברירה אחרת מלבד שימוש בנתון קיים. לא?
    וכן מה שיש לו מספרי טלפון כבר יש לו. ואין מידע נוסף שניתן למשוך ממני..

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @dovid אמר בישיבה על קברו, בלי סיסמא?:

    זה בעיה אצל כמה משתמשים פה (ודוקא @חוקר פחות בקטע הזה), שהם חיים במירוץ מטורף עם פרויקטים חיים,

    אם אני לא פחות במירוץ, אז מה יכול להיות יותר?
    יש כאן מישהו שיש לו 48 שעות ביום?

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @clickone אמר בישיבה על קברו, בלי סיסמא?:

    @dovid אני מצליח לשים תז (אמנם אני בודק עם 42 וייתכן שהוא החריג את זה) ולקבל נתונים
    (עריכה: התשובה הייתה כשחשבתי שאתה שואל אותי)

    לא כ"כ הבנתי לא לפני העריכה ולא לאחר העריכה..
    מה התכוונת לומר על 42, ומה העריכה

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    אני לא הספקתי לעבור מקודם על כל התגובות כאן, משון מה זה נתקע לי, כנראה בגלל שהעבירו את נושא לפורום אקסקלוסיבי.
    כעת אני רואה את כל השרשור
    כבר לפני כמה שעות השלמתי את הפיתוח של סיסמא הנ"ל (שהתיישבתי עליו מיד אתמול לאחר החסימה הזמנית, רק שפשוט נרדמתי על ההגה..).
    אני מחכה שאליהו יעבור על השינויים שעשיתי ויעדכן את הקבצים בשרת שלו..
    למזלי הוא בהפסקת חשמל כבר כמה שעות..
    מיד הבנתי שזה לטובתי, ס"ה כמה שיותר אבטחה הוא ודאי הכרחי, אין ספק

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @dovid
    כמו תמיד אתה מדבר ומכוון למקום הנכון.
    מכה אותו ואומר לו גדל.
    לכאורה תמוה למה "המכה" ואומר גדל? והתשובה ניתנה כאן.

    @dovid אמר בישיבה על קברו, בלי סיסמא?:

    מעניין אותי, מה יהיה פעם הבאה למען הפשטות? איך משלבים קלות לאנשים עם בטחון בשמירת הפרטים שלהם? זה הדבר שחייב להיות לך תשובה.

    יש פתרון.
    לדרוש סיסמא המורכבת מ 4 הספרות האחרונות של מספר הטלפון איתו הוא נרשם

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @חוקר אמר בישיבה על קברו, בלי סיסמא?:

    הרי שהיו כאן כמה חברים יקרים שמיד הפנו את תשומת לבי לזה

    אני ראיתי פעם 2 חברות בציבור החרדי שהאחד מהם מצא פרצת אבטחה גרועה יותר, כמו שרן בר זיק כתב, שכשאתה מכניס מספר זהות אתה מקבל הכל על מגש של כסף כולל הסיסמא (האימות היה בצד לקוח), ושם מדובר היה בפרטים רגישים של אשראי שמור ועוד.
    מפני כבודם לא אציין במה מדובר.
    אחד מהם מצא זאת אצל השני, והוא אמר לי שהוא יכול להריץ לולאה ולשאוב מידע יקר מאוד עבורו..
    אך הוא העדיף להדיע מיידית למתחרה ישירות שידע ויורה למתכנתים לטפל..
    וכן עשה.

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @dovid
    ראשית אתה צודק! הבנתי והפנמתי!
    שנית כשהקמתי את המערכת אני סברתי ג"כ שיש לאבטח את המידע עם סיסמא, אבל הם לא רצו להכביד על הגישה.
    אז לכל הפחות עשיתי הגבלת גישה ברמת רפרר, אך כמובן שזה עקיף.
    אבל אמרתי נעקוב, ובמידת הצורך נגביל.
    ולמען האמת למיטב ידיעתי עד היום לא שאב אף אחד מידע (כמובן שייתכן ואני רק רוצה שזה היה כך..)
    מה שכאן תמהתי הינו פשוט, שלא מדובר כאן בפורום סייבר שמנסים לשאוב מידע ולהזיק לאחרים, ס"ה פורום חרדי שעוזרים אחד לשני, והראיה שכאשר מישהו העלה פוסט כזה, הרי שהיו כאן כמה חברים יקרים שמיד הפנו את תשומת לבי לזה (חלקם במייל האישי, מה שבטוח שכך ראיתי את זה, כי באמת לא ראיתי את זה לפני זה, ואני מודה להם).
    אז מי שבא לעזור, בשמחה, אנו כאן לעזרה אחד לשני, שלח מייל לאישי (לא סוד המייל שלי, הוא מופיע כאן מספר פעמים למיטב זכרוני) ודווח על בעיית אבטחה (שהייתה ידוע לי, אבל לא הגעתי לכך עדיין שהיא ידועה לאחרים..), אבל לפתוח פוסט ציבורי, שמכח זה אין לי מושג מי, ואני מעדיף לא לחשוב מי, הריץ לולאה שתשאב את המידע, שהייתי חייב לכן לעצור ולטפל ולחסום.
    על כך אני תמה, יש לי כאן עוד תמיהות על הפוסט, אבל אכמ"ל.

    תכנות
  • ישיבה על קברו, בלי סיסמא?
    ח חוקר

    @clickone אמר בישיבה על קברו, בלי סיסמא?:

    ממש ממש מוזר

    באמת מוזר, ולמען האמת לצערנו זה לא מוזר, שיש מישהו שזה יעזור לו לשאוב ממני את המידע.
    אני שם כעת את כל המאמצים לפתרון.
    ובכל מקרה דבר ראשון הוצרכתי להוריד את הAPI.
    זה שמנסה כעת לשאוב את המידע אשם בכך שיש נבחנים שלא יוכלו להשתתף כעת במבחן...

    תכנות
  • צריכת CPU תקינה של nodejs
    ח חוקר

    הנה דוגמא של צריכת CPU ממוצעת במשך היום, ומוזר לי שכמה ששמתי לב היה נראה לי שתמיד בשעות הבוקר הCPU כפול משאר שעות ימות, אין לי סיבה הגיונית מידי לזה.
    d55fcd89-30a4-44df-b8d5-bf68bd9ae878-image.png

    תכנות
  • צריכת CPU תקינה של nodejs
    ח חוקר

    איך אוכל לדעת שאני לא מגזים עם הביצועים והצריכה של השרת שלי.
    מצ"ב תמונת מצב, האם היא תקינה או שצריך כבר לחשוב על פתרונות.
    אציין שבר"כ זה היה עומד על עד 10 % של צריכה לנוד, והיו פעמים שזה היה עולה ל20 ואח"כ יורד שוב ל10, ואין לי הסבר לזה מה גורם (אלא א"כ שיש באמת כמות משתמשים מרובה בשעות אלו (הצהרת בריאות) או סיבה אחרת לא ידועה.
    כעת משום מה זה על 40 (כולל כל השירותים)
    ba3fcb2b-7f16-47b5-b207-c13fc6a6d24f-image.png

    תכנות
  • שולחן עבודה מרחוק ווינדוס מרובה משתמשים
    ח חוקר

    בהמשך לפוסט כאן
    @איש-ימיני אמר בעזרה ביצירת שולחן עבודה מרוחק Windows 10:

    @OdedDvir
    אני משתמש עם וינדוס 10
    מישהו נתן לי קובץ מסויים שאותו החלפתי בתיקיית C:\Windows\System32
    ומאז אני יכול להתחבר עם כמה משתמשים בו זמנית
    מצורף הקובץ
    termsrv.dll

    אשמח לדעת היכן זה מתבטא.
    כי החלפתי את הקובץ הקיים בקובץ המצורף, אך אני לא חש בשינוי, ברגע שאני מתחבר למחשב מרחוק, זה מבצע נעילה במחשב המקומי/המארח, ואם אני חוזר ונכנס למשתמש במחשב הפיזי, זה חוזר ויוצא החוצה בלקוח.
    תודה

    אינטרנט
  • עזרה ביצירת שולחן עבודה מרוחק Windows 10
    ח חוקר

    @dovid אמר בעזרה ביצירת שולחן עבודה מרוחק Windows 10:

    @חוקר מאוד מאוד קשה לקרוא את הנושא הארוך הזה,
    אני מאוד מבקש להשתמש כמה שיותר בפתיחת נושא חדש ובהרחבה.
    הפורום הופך ללא שמיש בגלל נושאים כאלה.

    אוקיי.
    את השלב הבא בנושא נפרד
    בכל מקרה לעניינו דלעיל פתרתי את הבעיה, נכנסתי למאפיינים מתקדמים שיניתי בעלות הקובץ, וזה השתנה לי, ואח"כ יכולתי לשנות הרשאות ונתתי הרשאות למשתמש שלי וכך יכולתי להחליף את הקובץ..

    אינטרנט
  • עזרה ביצירת שולחן עבודה מרוחק Windows 10
    ח חוקר

    @איש-ימיני אמר בעזרה ביצירת שולחן עבודה מרוחק Windows 10:

    @חוקר
    אצלי שיניתי קודם את השם של הקובץ הישן, ואח"כ הכנסתי את החדש לתיקיה, ללא תקלות.

    לא נותן לי
    24cff274-ffae-4d22-aca4-31d7b007507f-image.png

    אינטרנט
  • 1
  • 2
  • 27
  • 28
  • 29
  • 30
  • 31
  • 62
  • 63
  • 29 / 63
  • התחברות
  • אין לך חשבון עדיין? הרשמה
  • התחברו או הירשמו כדי לחפש.
  • פוסט ראשון
    פוסט אחרון
0
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום