Zabezpečení automatického přihlášení
Dnes jsem ve vývojové verzi redakčního systému řešil automatické přihlášení na stránky. Některým uživatelům totiž vadilo, že se po určité době (nastaveno na 40 minut) musí znovu přihlašovat. Tento problém je umocněn nedostatkem, kdy třeba píší článek, překročí onu kritickou hranici a dojde k jejich odhlášení. Samozřejmě článek se na web neuloží a je podle nich ztracen. Tento článek však zůstává v paměti prohlížeče, takže se stačí přihlásit v novém tabu, dát refresh stránky a bezproblémově pokračovat dál.
Aby uživatele byli alespoň trochu upozorněni, dal jsem na stránky varování, které se zobrazí minutu před automatickým odhlášením. Ve Firefoxu tento alert aktivuje celý tab, takže v případě surfování ve vedlejším tabu hned uživatele vidí, že bude odhlášen a tuto hlášku musí ?odklepnout?. Toto se mi zdá jako poměrně bezpečné a uživatelsky přívětivé řešení.
Dnes jsem přidal trvalé přihlášení. Tato volba sice přináší zvýšená bezpečnostní rizika, zvláště pak na sdílených počítačích doma nebo v internetové kavárně. Srovnám-li to však s faktem, že většina uživatelů má stejně hesla uložena v prohlížeči, není toto riziko zas tak moc velké.
Zachování kontextu mezi relacemi využívá samozřejmě cookies. V každé cookie uchovávám hash, který se při autentizaci uživatele znovu vygeneruje. Při předpokladu, že uživatel 5 minut něco dělá na webu a pak se na pár hodiny vzdálí, je tu jisté riziko zneužití ? podstrčení falešné cookie s hashem. Tento případ jsem vyřešil kontrolou ip adresy. Uživatel se může trvale přihlásit pouze na jednom počítači, respektive jedné veřejné ip adrese. Jakmile se přihlásí z jiného počítače (ip adresy), autentizace pomocí cookie je neplatná.
Dalším možným rizikem je přímo použití uživatelova počítače. V tomto případě však musím spoléhat na uživatelské účty, kdy může uživatel pracovat pouze se svými daty. Škodu tedy bude mít jen viník průniku do systému. V této souvislosti mně napadá, že bych měl asi také udělat automatické zálohování, protože jak známo potrefená husa nejvíce kejhá, takže uživatel, který se chová nejvíce promiskuitně bude první kdo si bude stěžovat?
Toto byl menší nástin mé dnešní odpolední činnosti. Doufám, že někoho zaujal
přidat komentář zobrazit komentáře (0) web přečteno 1189×