![]() |
![]() |
![]() ![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 7.01.2010 Ostrzeżenie: (0%) ![]() ![]() |
Witam!
Szukam dodatku, który umożliwiłby zrobienie loginu bez hasła. O co mi chodzi? Konkretniej rejestracja: User przy rejestracji podaje login, mail itp. i nie jest proszony o password, ale dostaje maila z linkiem aktywacji konta i po kliknięciu go, jego konto zostaje aktywowane lecz jednocześnie zostaje mu przyznany klucz prywatny, który zapisuje się na jego komputerze oraz na serwerze w celu późniejszej weryfikacji przy próbie logowania. Logowanie: User przy próbie logowania widzi jedno pole, w które to proszony jest o wpisanie loginu/nazwy użytkownika i wciśnięcie przycisku "Login". Resztę roboty wykonuje za niego serwer, mianowicie: - Sprawdza czy taki login istnieje - Jeśli istnieje, skojarza nazwę użytkownika z kluczem prywatnym wcześniej przyznanym - Sprawdza czy klucz na serwerze jest taki sam jak na komputerze usera - Jeśli wszystko gra, user zostaje pomyślnie zalogowany i może przeglądać stronę (oczywiście SSL/HTTPS) Co w przypadku, gdy user straci klucz z komputera (format itp.)? - Zostaje poinformowany o tym, że nie może zostać skojarzony - Zostaje zapytany "Czy chce odzyskać dostęp do swojego konta/profilu" - Jeśli chce to jest proszony o podanie loginu, a następnie kilku informacji, które podał podczas procesu rejestracji - Jeśli wszystko się zgadza, user dostaje maila z linkiem, który zwracam mu stary klucz i zapisuje na kompie lub poprostu przyznaje nowy. Uff.. To chyba wszystko. Zależy mi bardzo na bezpieczeństwie, a fakt, że słyszałem o tego typu dodatku do Joomla! nie pozwala mi spać ze świadomością, że jeszcze go nie mam (IMG:style_emoticons/default/smile.gif) Bardzo proszę o pomoc Pozdrawiam, Elementh |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 300 Pomógł: 32 Dołączył: 31.07.2006 Ostrzeżenie: (0%) ![]() ![]() |
Masz na myśli ten dodatek http://community.joomla.org/blogs/communit...andidate-1.html ? To chyba jest bardziej przewidziane do integracji z jakimiś czytnikami kart itp. zewnętrznymi aplikacjami.
Ogólnie przeglądarki z oczywistych powodów nie wyślą do internetu pliku z dysku wskazanego przez autora strony więc pozostaje applet Java, ActiveX i może Flash. Tylko, że przy twoich założeniach i tak najbardziej niebezpieczne będzie samo wysyłanie kluczy emailem. Zakładając, że cały dostęp do strony będzie tylko i wyłącznie po SSL równie dobrze możesz utworzyć ciasteczko z odpowiednio długą wartością. Efekt ten sam: mam plik/ciasteczko na dysku = mam dostęp do strony, stracę plik = dostaje mailem link do klucza/link, który ustawi nowe ciacho. Zresztą po zalogowaniu się super bezpiecznym kluczem tworzona jest sesja, ustawiane jest ciacho... Chyba jedyna większa różnica jest w przypadku jakiegoś exploita na przeglądarkę - raczej nie zostanie wykradziony klucz, "tylko" przejęta sesja. Jeśli coś przegapiłem w powyższym rozumowaniu to proszę o uwagi (IMG:style_emoticons/default/smile.gif) |
|
|
![]() ![]() |
![]() |
Aktualny czas: 17.10.2025 - 13:57 |