Re: Opcja "zapamiętaj hasło" lokalnie - jak bezpiecznie

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!not
-for-mail
From: Peter May <p...@o...pl>
Newsgroups: pl.comp.www
Subject: Re: Opcja "zapamiętaj hasło" lokalnie - jak bezpiecznie
Date: Tue, 17 Aug 2010 23:41:57 +0200
Organization: http://onet.pl
Lines: 74
Message-ID: <i4evn6$pcg$1@news.onet.pl>
References: <i4eshe$gdf$1@news.onet.pl> <8...@k...net>
NNTP-Posting-Host: 188.146.5.68.nat.umts.dynamic.eranet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: news.onet.pl 1282081321 26000 188.146.5.68 (17 Aug 2010 21:42:01 GMT)
X-Complaints-To: n...@o...pl
NNTP-Posting-Date: Tue, 17 Aug 2010 21:42:01 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.8) Gecko/20100802
Lightning/1.0b2 Thunderbird/3.1.2
In-Reply-To: <8...@k...net>
Xref: news-archive.icm.edu.pl pl.comp.www:396482
[ ukryj nagłówki ]
W dniu 2010-08-17 23:07, Konrad Kosmowski pisze:
> ** Peter May<p...@o...pl> wrote:
>
>> Zastanawiam się nad tym, jak bezpiecznie zrealizować nierzadko widzianą opcję
>> "Zapamiętaj mnie" lub "Zapamiętaj hasło",
>
> Chodzi Ci o funkcję przeglądarki - każda sensowna ma wbudowany menadżer haseł,
> który trzyma hasła po stronie przeglądarki i w dodatku pozwala je zaszyfrować
> np. master hasłem czy w ogóle z użyciem urządzenia kryptograficznego (np. karty
> inteligentnej, pliku certyfikatu whatever).

Nie chodzi mi o to, że już praktycznie wszystkie przeglądarki potrafią
zapamiętać hasło i login nie rzadko. To ja wiem, ale trudno jest czasem
wytłumaczyć to klientowi. Niektórzy są niereformowalni klienci :/

> Czy chodzi Ci o ptaszek "zapamiętaj mnie" w formularzu, który po prostu wydłuża
> czas trwania sesji?

Chodzi mi o checkboksa.

>> itp. Wydaje się, że hasło musi być trzymane w cookie, a już na pewno
>> szyfrowane.
>
> Hasło trzymane w cookie? Jeżeli już to żeton sesji.

A czy ja tam wiem co mam trzymać w cookie w w/w funkcjonalności? Nie, bo
nigdy czegoś takiego nie potrzebowałem. No ale znalazł się jeden, co na
GMailu coś takiego widział i chce mieć takie coś, jak "Zapamiętaj mnie".

Dlatego pytam, by zastosować jakieś sensownie rozwiązania do w/w
funkcjonalności.

>> Pytanie tylko jak sensowne podejść do tematu? Głównie od strony
>> bezpieczeństwa.
>
> Bezpieczeństwa czego? Znowu te samo bezsensowne podejście do bezpieczeństwa...

Dlaczego bezsensowne? Działam wg zasady: nie wiem, to pytam. Krótko
mówiąc chcę osiągnąć cel w postaci takiej funkcjonalności, że po wejściu
na wskazaną stronę użytkownik będzie mógł "zapamiętać" dane logowania,
aby następnym razem od razu mu się pola wypełniły właściwymi danymi.

Ja wiem, że to nie najlepszy pomysł, bo przeglądarki potrafią pamiętać
hasła. Ale przecież może być sytuacja, w której przeglądarka nie
zapamięta hasła sama z siebie.

> A co chcesz zabezpieczać? Transakcyjny serwis bankowy? Widziałeś tam kiedyś

Nie, nie serwis transakcyjny. Gdybym mógł, to zrobiłbym tak, jak w
bankach, czyli jedna strona to login, druga to hasło z losowo wybranymi
polami. To uważam za dość bezpieczne, choć ekspertem od bezpieczeństwa
nie jestem.

A zabezpieczyć chcę dane (login i hasło), które miałyby być
przechowywane lokalnie na komputerze klienta. Brzmi to idiotycznie, a
mam wrażenie, że to chyba nie ten kierunek.

> taki ptaszek? Bo ja nie. Czy może dostęp do forum o dupie Dody - tak tutaj
> ptaszki się znajdą. Czy wszystko in-between? Bo to już zależy...

Nie jest to miejsce, które musiałbym zabezpieczyć tak, jak banki, ale
znowuż nie chciałbym tego lekceważyć i bagatelizować.

> Wszystko zależy od przyjętej polityki, która wynika z tego jakie właściwie jest
> zagrożenie/ryzyko, jaki jest poziom wiedzy użytkowników, czego można od nich
> wymagać itd.

Z reguły trzeba myśleć za klientów, bo oni nie bardzo mają świadomość
skali zagrożenia dopóty, dopóki coś się nie stanie. Chcę to w miarę na
tyle dobrze zrealizować, aby zachować jakieś minimum rozsądnego
bezpieczeństwa.

--
Peter