タグ付けされた質問 「authentication」

4
SSLはほとんどのWebサイトにとって本当に重要ですか?
私が構築しているこのサイト(私が作成した最初の重要なサイト)に対して「セキュリティを正しく行う」ことを学ぶことにかなり偏執的で、気になることがあることに気づきました:SSL。 ここ、StackOverflow、およびnを使用した後にセッションIDを再生成すること、およびパスワードをソルト、ハッシュしてプレーンテキストに保存しない方法について詳しく説明しているセキュリティスレッドをたくさん読みました。IPアドレスやユーザーエージェントを追跡したり、追跡Cookieを使用したりして、セッションが乗っ取られたことを検出する方法については、たくさん読んだことがあります。 私が理解していないのは、ウェブサイトが通常のHTTP POSTを介してログインし、プレーンテキストでネットワーク経由でパスワードを送信するときに問題になることです。 私がリストアップした他のすべての方法があなたの全体的な露出を減らすために必要であることを理解しています、そしてとにかくそれほど多くのセキュリティを必要としないいくつかのサイトがあるかもしれませんが、私が求めているものは次のとおりです: SSLに煩わされなくても大丈夫なのはいつですか? Gmail、あなたの銀行、LinkedInのようなサイト、SSLを使用する理由があるのはわかりますが、Facebookやredditなどのサイトが煩わしくなくても問題ありません(地獄、PlentyOfFishはパスワードをプレーンテキストで保存し、メールで送信することさえします)リマインダーとして毎週あなたに!?!)? SSLが設定されていることをどの程度気にする必要がありますか(特に、共有ホストから始めて、かなり安く始められるため)。私のサイトは、それが役立つ場合、特に個人情報を保持しません。サイトが成功した場合、私は真剣に追加のセキュリティのために余分に支払うことを検討します。

1
パスワードを保存するために、サイトをSafariのiCloudキーチェーンと互換性のあるものにするために何をする必要がありますか?
ベンダーのWebアプリケーションが「パスワードの作成」フォームでSafariの「推奨パスワード」機能をトリガーするが、フォームの送信時にこのパスワードを実際には保存しないことに気づきました。つまり、フォームを送信して再度ログアウトすると、SafariのiCloudキーチェーンは、新しく作成された認証情報を自動入力候補に含めません。(同じドメインでサブドメインが異なる他の認証情報が表示されるため、Safariはフィールドをログインとして明確に認識しています。) 同様に、パスワードを手動で作成(またはそれを使用してログイン)しても、Safariはパスワードを記憶しません。 フォームの送信に含まれるJavaScriptが、何らかの方法でアクションやデータを難読化しているように思います。パスワードの保存を提案するときにSafariが求めるアクションは何ですか?

4
削除されたアカウントの古いユーザー名の再利用を許可することは一般的に良い考えですか?
ソーシャルネットワーキングサイトで、削除されたアカウントから古いユーザー名の再利用を許可することは一般に良い考えですか、それとも永久に再利用を禁止する方が良いですか? ビッグボーイズはどうやってそれをしますか(Facebook、Googleなど)? 一般的に、DBに関する限り、ほとんどのテーブルはユーザー名ではなく、ある種のユーザーIDによって関連付けられているため、どちらの方法でも大したことではありません。 禁止されたユーザー名の再利用を許可したくない理由は確かにわかりますが、元の所有者によって単に削除されたアカウントのユーザー名はどうなりますか?それらのユーザー名を解放したり、再利用を禁止したりしますか? 再利用を許可する利点: 利用可能なユーザー名スペースを解放します。 現在のアカウント所有者は、アカウントを削除して、まったく同じユーザー名ですばやく再登録することで、アカウントを「リセット」できます。 再利用を許可することの短所: 混乱を引き起こす可能性があります。フォーラムに何千もの投稿を持つ古いユーザーを想像してみてください。彼らは自分のアカウントを削除し、彼らの投稿は古いユーザー名で残り、誰かがやって来て同じユーザー名で登録します。新しいユーザーが古い投稿をすべて作成したようです。この混乱を避けるために、アカウントを削除する前に古いユーザーのユーザー名を変更することはできますが、引用されている場所には元のユーザー名が残っているため、混乱が生じる可能性があります。 「ゲーム」することができます。非常に人気のあるユーザーが自分のアカウントを削除し、誰かがそのユーザー名に関連付けられた「信頼」の恩恵を受けるためにそのユーザー名をすばやく再登録し、疑いを持たないユーザーに対して悪意を持って使用することを想像してください。 他に考えていない長所/短所はありますか?ビッグボーイズがどのようにしてそれを行っているのかを知りたいと思っています。

5
phpmyadminで別のユーザーとしてログインする方法
Win7にphpmyadminをインストールしhttp://localhost/phpmyadmin/index.phpました。ブラウザに入力すると、デフォルトでrootユーザーとしてphpmyadminにログインします。 新しいユーザーを作成しましたが、ログインウィンドウはありません...デフォルトでrootとしてログインするたびに、ユーザーを変更するにはどうすればよいですか? どうもありがとう!

2
作成したカスタムログインシステムの代わりにOpenIDを使用すると何が失われますか
OpenIDを使用するか、十分に構築されたカスタムログインシステムを使用するかを決定しようとしています。OpenIDの魅力は明らかです。ユーザーがサイトにログインするために別のアカウントを作成する必要がないということです。しかし、私が作成したカスタムログインシステムの代わりにOpenIDを使用すると何が失われますか?

8
2つのステップでログインする理由は何ですか?(1ページにユーザー名、2ページ目にパスワード。)
そのため、最近、2つのステップのログインプロセスに遭遇しました。1つのページでユーザー名を入力し、2番目のページでパスワードを入力する必要があります。ログインするためだけに追加のページをロードする必要があるため、私はこのパターンが本当に好きではありません。 しかし、私はそれがより安全であると数人の人々から言われました。それはどのように安全ですか?これでユーザーを不便にする他の理由はありますか?

1
一時ファイルを提供するための権限
SOAPを介してサードパーティシステムから添付ファイルをプルするシステム(Webベースのアプリケーション)があります。これらは、ディレクトリ内のファイルとして作成されたシステム上にあります。 システムのユーザー(LDAP経由で認証済み)がアプリケーションにこれらの添付ファイルの1つを取得するように要求すると、次のようになります。 1. I request it via soap 2. Process the response to build the file on our system 3. Redirect user to the location so they can download the file. まず、これは良いアプローチですか? 添付ファイルのダウンロード後にサーバーに常駐しないファイルを提供するためのより良い方法はありますか(cronジョブは時々ディレクトリをクリーンアップします)? 次に、Webルートに保存せずにApacheを介してファイルを提供できる方法はありますか? 3番目に、これらのファイルにアクセス許可を適用して、ユーザーだけで添付ファイルをダウンロードできないようにする方法を教えてください。 私たちのセットアップ: linux apache php - soap libraries for communication seperate LDAP for authentication 3rd party …

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.