| Autor | Zpráva | ||
|---|---|---|---|
| BranoD Profil * |
#1 · Zasláno: 29. 11. 2009, 22:11:37
Zdravim,
mam web, kde by som potreboval dat k dispozici na stiahnutie instalacky k mojmu softu (update) ale len pre klientov co maju platne seriove cislo. Takze si to predstavujem ze tam bude textarea kde clovek pastne seriove cislo, v php sa overi a ked je platne tak ho presunie na stranku kde sa bude dat stiahnut ten update. Napadla ma http autentizacia, akurat neviem ako prihlasit cloveka programovo bez toho default prihlasovacieho dialogu. Momentalne je to v stave ze som na hostingu nastavil heslo pre subdomenu a dalej tapem. vopred dakujem za aky kolvek napad |
||
| Leo Profil |
#2 · Zasláno: 29. 11. 2009, 22:24:42
Http autentizaci se vyhnete obzvlášť pokud nemáte zajištěné, že klient a server budou komunikovat přes https. Leo
|
||
| Majkl578 Profil |
#3 · Zasláno: 30. 11. 2009, 15:45:29
Myslím, že nejpohodlnější by bylo kdyby to software uměl sám (pokud jde tedy o spustitelný program). Klient by pak nemusel pokaždé lovit sériové číslo apod.
Co se týče tohoto řešení, asi bych si to představil takto: Na webu bude databáze platných sériových čísel. Klient přijde na web, do inputu zadá své číslo a odešle. Na straně serveru se ověří platnost čísla (v tomto případě zda existuje v databázi). Pokud ano, nabídnu aktualizace (je důležité, aby to byla také zabezpečená stránka, ne taková, kam se přesměruje - klient by si ji mohl uložit a později by mohl obejít autentifikaci), pokud ne, vypíše se chyba. Nakonec bych popřemýšlel o ochraně proti útokům s cílem zjistit platná čísla "hádáním". Například nějaké omezení neplatných pokusů na IP. |
||
| BranoD Profil * |
#4 · Zasláno: 30. 11. 2009, 17:09:44
Vdaka za odpovede, asi som sa nevyjadril dobre. Co sa tyka seriovych cisel a overovania tak to mam poriesene. Co neviem je, ako autorizovat ne-php subor, teda akym sposobom zamedzit stiahnutie zip suboru neutorizovanym a povolit autorizovanym. Napadlo ma nastavit http autentizaciu na cely adresar, akurat potrebujem aby sa tam clovek dostal nie cez standardny browser autentizacny dialog kde zada heslo/pass ale cez vlastny formular na stranke.
Vyzerat by to malo nejak takto: http://refx.com/?lang=en&page=downloads/products 1. clovek pride 2. zada seriove cislo 3. odosle 4. skript overi seriove cislo 5. a ak je platne tak... //potialto to mam vyriesene dalej ho potrebujem presmerovat na ten zaheslovany adresar ale uz ako prihlaseneho - a tu netusim ako ho prihlasit programovo bez toho aby musel zadavat heslo/pass (heslo/pass je len jedno), nakolko overovaci udaj je seriove cislo. Alebo idem na to uplne zle? Je nejake ine riesenie? |
||
| tatyalien Profil |
#5 · Zasláno: 1. 12. 2009, 14:26:02 · Upravil/a: tatyalien
A co předělat jakýkoliv "přihlášení uživatelů" na tuhle kontrolu, po autorizaci se mu zobrazí jen stránka s linkem na stažení.
Můžeš čerpat z projektu na linuxsoftu |
||
|
Časová prodleva: 14 let
|
|||
0