Autor Zpráva
Prochy
Profil
Zdravim,

chtěl bych se zeptat, jak nejlépe udělat logování aktivit. Ze začátku by se jednalo o nějaké důležitější aktivity, jako je pokus o přihlášení, jestli bylo úspěšné nebo ne, ale postupně bych to chtěl více rozšířit. A zajímalo by mě, jak to nejlépe vyřešit. Je to lepší zapisovat do souboru nebo je lepší to zapisovat do databáze? S databází se mi bude lépe potom pracovat, kdybych chtěl nějakou analýzu apod., ale nevim jak to bude s rychlostí. Ale zase tu aplikaci využívá minimum lidí, tak by to asi nebylo znát.

Ale nevim jak by měl vypadat návrh tabulek. Myslel jsem, že by tam byl číselník typu akce (přihlášení, vložení nějakých dat do db apod.), a potom bych měl další tabulku, kde bych ukládal čas akce, typ akce, a nějak rozeznat co nejlépe návštěvníka pro případnou blokaci (IP adresa, prohlížeč, operační systém, doménové jméno, něco dalšího??), a rád bych také ukládal hodnoty polí, které se snažil návštěvník poslat(např. jestli se někdo pokoušel o SQL útok, nebo nějak trefit heslo). Ale tady se samozřejmě objevuje problém, že nemůžu úkladat heslo, že by to asi nebylo zrovna to pravé ořechové, co kdyby se náhodou někdo spletl a zadal by tam heslo ke svému bankovnímu účtu či emailu. Tak by mě zajímalo, jak to vyřešit.

Budu rád za Váš názor, jak to řešíte Vy nebo jak bych to měl vyřešit já, jestli je moje myšlenka správná nebo ne.

Děkuji za odpověď
panther
Profil
Prochy:
určitě do DB, myslíš, že zápis do souboru by byl rychlejší?

K tomu zbytku a mnoha dotazům/otázkám se vyjádří buď někdo jiný, nebo já později (dnes asi ne).
Prochy
Profil
panther:
Děkuji za odpověď

Někde sem o tom četl, když sem se snažil k tomu něco najít, než jsem sem napsal. Teď to bohužel nemůžu najít. Psali tam, že je rychlejší přidat na konci souboru řádek než provést jeden dotaz.
Re4DeR
Profil
Taky resim stejny problem. A dospel jsem k tomu ze asi budu ukladat kazdy dotaz ktery se provede do souboru (spolu s IP uzivatele) a soubory budou po dnech.
candiess
Profil
Re4DeR:
spolu s IP uzivatele
A bereš v potaz, že můžou mít dva a více uživatelů stejnou IP? Mě jako lepší identifikace příjde (pokud je v aplikaci nutné přiihlášení) zapisovat jeho #ID spolu s hláškou.

Prochy:
přihlášení, vložení nějakých dat do db apod.
A není pro tebe lepší logovat errory? Za každý úspěšný pokus ti naroste velikost (DB, souboru,..), kdežto když budš logovat chyby, hned můžeš tu chybu opravit a pak pozorovat, jestli se objevila znovu.

ěkdo spletl a zadal by tam heslo ke svému bankovnímu účtu či emailu
Tohle je, troufnu si říci, na denním pořádku. Spoustu lidí používá jedno heslo na všechno (viz. Aktuální seznam nejpouživanějších hesel aneb 12345 není to pravé heslo) a co se týče zadání hesla do bankovního účtu, nemůžeš myslet na všechny blbosti co může uživatel napsat, ty musíš zabezpečit aplikaci.

nebo nějak trefit heslo
Jak může zkoušet hesla, když nebude znát loginy?
Re4DeR
Profil
treba na foru loginy zná..

no uzivatele poznam snadno protoze vsechny dotazy budou nejak identifikovatelny (kazdy uzivatel má pravo menit jen svoje veci) a naopak se mi hodi vedet ip jestli treba jendou se stalo z jiny IP je podezreni ze se nekdo dostal uzivateli na profil.
Str4wberry
Profil
Začal bych položením si jednoduché otázky: „Proč chci logovat aktivity aplikace?“ Uvedené příklady mi přijdou trochu ve stylu chci logovat, abych logoval, což ale už beztak na základní úrovni dělá webový server. Potom dojdete k tomu, že s logy budete nejspíš chtít dále v aplikaci pracovat, což se bude dělat lépe například v té DB.
Re4DeR
Profil
no já chci logovat proto abych si mohl zpetne projit jestli nekdo nezkousel nejaké bejkarny a nepokousel se nejak obechcat aplikaci.
Ale más pravdu ze to je opravdu dulezitá otázka.
Amunak
Profil
Re4DeR:
Myslím, že lepší než zjišťovat kdo se pokoušel aplikaci obejít by bylo tu aplikaci zabezpečit tak, aby jí obejít nešlo. Myslím si že logovat (a pak si prohlížet) zadaná hesla je protizákonné. A i kdyby to tak nebylo, je to hodně nefér vůči uživatelům (může jít o to že zadají omylem jiné heslo nebo se jen nějak jednoznačně překlepnou, a ty bys pak věděl jejich heslo. Od takové aplikace bych dal ruce rychle pryč, v DB by měly být jen nějak pěkně osolené hashe hesel.
Re4DeR
Profil
Logovaci proces se logovat nebude, hesla má v databazi jako hash se solí. To je celkem samozrejme ;).

Tak apliakce je zabezpecena tak aby nela nejak pokazit. ale zajimalo by me kolik lidi napadlo vyuzit vlastnosti aplikace tak aby si ji ohli ve svuj prospech.
Amunak
Profil
Re4DeR:
Na to by ti mohly stačit i logy webserveru. Pokud stránka bude zajímavá, je klidně možné, že se o útoky na ní budou pokoušet automatizovaní roboti. Myslím si, že vypovídací hodnota (a užitečnost vůbec) takové informace je téměř nulová.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: