fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Biztonság » Hol hajtódnak végre a következ...

Hol hajtódnak végre a következő tevékenységek egy webalkalmazásban?

Figyelt kérdés
Hol hajtódnak végre a következő tevékenységek: jelszó titkosítás, jogosultság kezelés, külső adatok ellenőrzése. Alkalmazás, webszerver, adatbázis vagy böngészőkliens feladata? Melyik-melyik?

#adatbázis #programozás #biztonság #weblap #titkosítás #webalkalmazás
2022. jan. 31. 16:09
 1/7 anonim ***** válasza:
59%
Ez valami házifeladat kérdés?
2022. jan. 31. 16:30
Hasznos számodra ez a válasz?
 2/7 anonim ***** válasza:
0%
A PC házában..
2022. jan. 31. 16:44
Hasznos számodra ez a válasz?
 3/7 anonim ***** válasza:
79%
Láttunk már olyat, hogy a jogosultság ellenőrzés a böngészőben volt... Elég nagy országos balhé lett belőle egy jó pár éve. A projektet nem nevezném meg. Te elhinnéd ha valaki oda állítana hozzád, hogy a "Józsi küldött, hogy adjál neki 1 000 000 Ft-ot készpénzben, és Józsi mondta, hogy én megbízható ember vagyok?" És erre adnál neki 1 000 000 Ft-ot? És ezt komolyan kérdezem! Na kb. ilyen amikor az adatellenőrzést a kliensre bízzuk. Annyit lehet kliens oldalon tenni, hogy "segítjük" a felhasználót, hogy bizonyos mezőkbe nem engedünk csak meghatározott tartalmat írni, de ez nem arról szól, hogy a böngésző ellenőrzi az adatot, hanem azt, hogy segíti a felhasználót, hogy nagy hülyeséget ne csináljon.
2022. jan. 31. 17:54
Hasznos számodra ez a válasz?
 4/7 A kérdező kommentje:
A második válaszadó, viccelődni próbált, de látom nem ért sokat az informatikához. 3. válaszadónak: Nyilván egyértelmű, hogy jogosultságot az adatbázisban kell ellenőrizni, és a helyes adatok bevitelét már a kliens oldalon ellenőrizni kell, de a kérdés, hogy a többi hogyan működik, esetleg valami példa egyes elemek feladatára?
2022. febr. 1. 11:09
 5/7 anonim ***** válasza:

4 Kérdező: Mindent kell az alkalmazás oldalon ellenőrizni. Hiába ellenőrzöd már a kliens oldalon (az max. a felhasználónak segítség), mert mi van egy man in the middle támadás esetén? Tehát hiába ellenőrzöd az adatot a klinesben, az alkalmazásnak még 1x ellenőriznie kell. (Egy csomó sebezhetőséget ennek a hiánya okoz, okozott). Már nem emlékszem melyik híres eset volt, amikor az ember egy password mezőbe beírt egy jól írányzott SQL kifejezést, és máris visszaköpte a hibaüzenetben, hogy milyen táblák vannak az adatbázisban. Innen kezdve csak egy lépés volt a megfelelően kiadott select * from <tablanév> ugyanabba a password mezőbe.


Szintén funkcionálisan: a webszerver általában külső alkalmazás, nem igazán van a kezünkben, sokat nem várhatunk tőle, örülünk ha megkapjuk az adatot. Hogy az alkalmazás és az adatbázis szerver között mi lesz a "munkamegosztás", hogy melyik feladatot oldjuk meg az alkalmazásban, melyiket az adatbázisban, az attól függ, hogy milyen adatbázis szerverünk van (pl. milyen tárolt eljárásokat, triggereket stb. tud/nem tud, mennyi erőforrás van alatta, mekkor az adatbázis mérete, milyen logok kellenek stb.).


A jelszó titkosítását meg nem is értem. Az adatbázisban nem tárolunk clean text jelszót. Azt megbeszéltük, hogy a kliens oldalon nincs jogosultság kezelés (és jelszó ellenőrzés sem, mert ez is ide tartozik) akkor kb. triviális, hogy hol van az egetlen hely ahol ezt el lehet végezni. Az, hogy a kliens és az alkalmazás között hogy utazik a jelszó protokoll függő (ld. htpps).

2022. febr. 1. 14:22
Hasznos számodra ez a válasz?
 6/7 A kérdező kommentje:
Nyilvánvalóan a jelszó titkosítást már a kliens oldalon el kell végezni, mivel elég gáz lenne egy titkosítatlan jelszót küldenénk az adatbázisnak. De amúgy jó gondolatmenet. Az amit a password mezőről írtál az SQL injection, azt muszáj kliens oldalon ellenőrizni, mert ha bekerülne az adatbázisba a bemenet, akkor az említett problémák léphetnek fel.
2022. febr. 1. 16:42
 7/7 anonim ***** válasza:
6: Pont ezt mondom, hogy _NEM_ a kliensben ellenőrzünk, mert ha megvan piszkálva a kliens akkor csak pisloghatsz. Ezeket pont, hogy az alkalmazás ellenőrzi, mielőtt átadná az adatbázisnak. A jelszó meg a neten https-en utazik, az alkalmazáson belül titkosítatlanul, de ezt meg mám oldalról kell védeni, bent az adatbázisban meg titkosítva tároljuk.
2022. febr. 1. 22:37
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Biztonság kategória kérdései »




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!