Aukcje.org

• # iGgY — 20/3/2004 @ 10:02:

  Ja tylko dodam, że od początku istnienia A24 nie mogę się zalogować przez SSL.

• # Miki — 20/3/2004 @ 11:47:

  Po prostu większość ludzi SSl-a nie używa, nie lubi itp. Dbałość o bezpieczeństwo nie może odstraszać użytkowników.

• # iGgY — 20/3/2004 @ 13:09:

  Bez przesady Miki, przecież to nie wymaga żadnego dodatkowego zachodu. Nie używają, bo pewnie większość nawet nie wie o jego istnieniu.

• # Robert Rudecki — 20/3/2004 @ 18:08:

  Proponuję jako człowiek od ziół ;) nastepującą metodę na bezpieczne logowanie do dowolnego serwisu:

  Założenia:

  - dostęp do internetu
  - posiadanie konta e-mail

  Metoda:

  - Wczytanie strony logowania w dowolnej przeglądarce
  - Wpisanie w formularzu loginu oraz hasła
  - Odebranie mail’a z linkiem do uwierzytelnienia logowania
  - Kliknięcie na ów link

  Zalety:
  - dowolny protokół (HTTP lub HTTPS)
  - brak duplikowania danych do sesji
  - hasło do konta może być podsłuchiwane przez wszystkich hackerów świata

  Wada:
  - konieczność odebrania mail’a

• # Arek — 20/3/2004 @ 20:43:

  Rozumiem, że maila będziesz odbierał po SSLu? Maila też można podsłuchać. W efekcie prościej od razu użyć SSLa przy logowaniu się na stronę aukcyjną.

• # Robert Rudecki — 21/3/2004 @ 0:01:

  Sprawdzanie poczty na DOWOLNYM serwerze, gdzie ma się konto e-mail.

  Czy POP3 ma SSL czy nie to kwestia admina.
  POP3 przez SSL to żadna rewelacja/nowosć.

  Obsługuje to każdy program pocztowy. Nawet Outlook Express :)

• # Arek — 21/3/2004 @ 1:04:

  Chodzi o to, że i tu i tu musisz SSLa (bądz inne metody typu forwardowanie tunelem ssh, vpn itd) zastosować by być bezpiecznym więc dlaczego nie od razu łączyć się z serwisem aukcyjnym przez SSL? Wtedy całkowicie odpada kombinowanie z mailami. Przykład dotyczący darmowych serwisów udostepniających konta pocztowe (niestety dane nieco już stare ale pokazują podejście serwisów) - http://bezpoczta.bnet.pl/.

• # wejka — 21/3/2004 @ 2:38:

  - żaden polski serwis aukcji internetowych nie prowadzi też weryfikacji przy pomocy kart płatniczych,
  Wobec tego co jest, nie zaryzykowalabym podawania numeru mojej karty kredytowej zadnemu z serwisow ;)

• # Robert Rudecki — 21/3/2004 @ 12:09:

  Nie zgadzam się z p. Arkiem, że „i tu i tu musisz SSLa (bądz inne metody typu forwardowanie tunelem ssh, vpn itd)”

  Założeniem było, że technologia w serwisie aukcyjny nas mało interesuje. Chodziło „bezpieczne zalogowanie się” do serwisu, który może być potencjalnie niebezpieczny (bez SSL’a).

  Mechanika opisanego przeze mnie pomysłu opiera się na wykorzystaniu DWÓCH niezależnych serwerów.
  Pierwszy, aukcyjny, wysyła mail po zalogowaniu się (wpisaniu loginu i hasła) na konto e-mail na drugi serwer (tam, gdzie mamy naszą prywatną skrzynkę e-mail, np. na serwerze wp.pl). W treści mail’a jest zawarty zapis, że:

  Żeby się zalogować do serwisu aukcyjnego kliknij tu : http://tu_jakiś_link_z_identyfikatorem_sesji
  Link jest ważny przez 10 minut.

  Taka autoryzacja nie wymaga SSL’a ponieważ jest JEDNORAZOWA.

  Zgadzam się, że SSL przy koncie e-mail jest potrzebny ale nie jest konieczny. To jednak jest temat na zupełnie inną rozmowę :o)

• # kuoda — 21/3/2004 @ 13:01:

  podejesz kartę do ręki sprzedawcy w sklepie? I on/ona patrzy jak wklepujesz pin?

• # wejka — 21/3/2004 @ 13:51:

  kuoda -
  - nie podaje sprzedawcy karty do reki, bo nie ma takiej potrzeby
  - nie patrzy, bo nie wolno. Poza tym moge odwrocic czytnik w swoja strone tak, aby nie widziala

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

Partnerzy: