Mindenhol érvényes, egységes bejelentkezés
2008-05-20T10:18:00+02:00
2008-05-20T18:20:31+02:00
2022-07-26T00:27:22+02:00
  • zerobaba szerintem helyesen szólt: lehet, hogy az OpenID-t keresed?

    szerk: ööö... rossz helyen nyomtam a válasz gombot, Banderasz kérdésére reagáltam volna.
    Mutasd a teljes hozzászólást!
  • nem személyes volt a dolog, ne értsd félre :)
    a PistikeBt-t itt a prog.hu-n szokták emlegetni mint a mulitcég ellentétekén.

    Amikor az MS találmány is kijött, akkor 1-2 nap alatt elég komoly biztonsági réseket fedeztek fel benne és könnyen hackelhető volt.

    Gondolj bele hogy egy "maszek" megoldásnál mennyi rést marad nyitva (az MS-nél tengernyi, magasan kvalifikált szaki dolgozik rajta, tudom, persze nem elegen:)

    Ráadásul földrajzilag elosztott szervereket használnak az összes Live Services-hez, amivel sajna nehéz lenne egy magyarnak versenyeznie...

    De ne add fel, érdemes elolvasgatni a Live vagy más megoldás doksijait, lehet h van olyan dolog amivel fel lehetne dobni a saját fejlesztésű dolgot.

    Az ilyen onlájn szolgáltatásoké a jövő és lehet h épp Te vagy az aki rátapint vmi jó dologra...
    Mutasd a teljes hozzászólást!
  • Megcsinálhatod..miért ne, csak kérdés, hogy el tudod-e adni.
    Mutasd a teljes hozzászólást!
  • "Szóval én inkáb bízom az autentikációt egy olyan cégre (MS), aki sokkal biztonságosabban meg tudja azt tenni mint egy Pistike Bt. Persze ez sem nagyon használható a banki on-lány cuccokhoz.De minden másra tökéletes..."

    Egyrészt lehet azt biztonságosra csinálni házilag is, ha kellő időt és türelmet szán rá az ember, másrészt pedig nem Pistike vagyok, hanem András és nem egy BT-ben dolgozom, hanem egy KFT-ben.

    "szóval akkor minek is csinálnál saját cuccot?"

    Nem mondtam, hogy feltétlenül megcsinálom. Sőt! Pont azért nyitottam ezt a topikot, hogy fény derülhessen a lehetséges hibákra illetve arra, hogy van-e egyáltalán értelme egy ilyenbe fogni. De tekintettel arra, hogy mindenki óvva int a dologtól, megfogadom a tanácsotokat, és félbehagyom az amúgy még el sem kezdett projektet. Amúgy is csak mint ötlet merült ez fel bennem...
    Mutasd a teljes hozzászólást!
  • Ha csak ID-ket kell generálni, és pakolagtni adatbázisokba akkor 1-2 kisebb redundás szerver (200-300 000Ft) megfelelő lenne szerintem.
    Mutasd a teljes hozzászólást!
  • OpenID?
    Mutasd a teljes hozzászólást!
  • Sajnos ilyen szempontból nagy cégekben sem lehet bízni. Amikor az MS találmány is kijött, akkor 1-2 nap alatt elég komoly biztonsági réseket fedeztek fel benne és könnyen hackelhető volt. Másrészt ha tényleg lenne is igény és felhasználó rá (néhány százezer user legalább használná), akkor iszonyú méretű szerverpark kellene a kiszolgálásához. Szóval én ilyen projektbe néhány tíz millió tőke nélkül nem kezdenék bele, még ha amúgy reális is lenne, hogy nagy igény van a szolgáltatásra. Ezt 1-2 házi pc nem szolgálná ki.
    Mutasd a teljes hozzászólást!
  • a .NET pass az télleg' halott. de a Windows Live ID az igenis él, sőt amióta ingyenessé tették - igen jól használható.(Jó az API-ja) És nemcsak web-es alkalmazásokhoz. Itt nem nick-et hanem e-mailcimet használsz a loginnál.De a te saját webes alkalmazásodban ehhez rendelhetsz nick-et, azt amit itt szeretne használni a júzer. Máshol meg mást.Nem gond.

    Szóval én inkáb bízom az autentikációt egy olyan cégre (MS), aki sokkal biztonságosabban meg tudja azt tenni mint egy Pistike Bt. Persze ez sem nagyon használható a banki on-lány cuccokhoz.De minden másra tökéletes...

    szóval akkor minek is csinálnál saját cuccot?
    Mutasd a teljes hozzászólást!
  • "...hogy veszed rá az usert, hogy megbízzon a szerveredben?"

    Sehogy. Az olyan oldalakon, ahol regisztráció nélkül nem lehet használni semmit, ott kellene egy linket raknia a fejlesztőknek, ami az én szerveremre mutat. Vagyis nem kell ezt reklámozni, sem pedig meggyőzni a user-t, mert enélkül nem tudna belépni.

    "Ez még a könnyebbik eset,de hogy veszed rá mondjuk a Vaterát, vagy Iwiwet, hogy a te hitelesítéseddel be tudjon hozzájuk bárki lépkedni?"

    Szintén sehogy. Max írok a fejlesztőknek egy mail-t, hogy ha akarják támogassák az én bejelentkezésemet is. A többi már úgyis csak rajtuk múlik.

    "Van megoldás, hogy ne kelljen jelszó meg semmi...süti, session ID, meg egyéb egyedi vackok generálása amit user az első regnél megkap, maximum nem tud róla. Lehet bonyolítani, hogy eseleg kap 1 file-t mai csak rá jellemző adatokat tartalmaz, és jelszó helyett mondjuk mindíg ezt feltölti..csak mi van ha elcsórják?"

    Nem akarok bonyolultat, mert az elriaszt. Az olyan user-ek, akikből az internet zöme él, azok nem szívesen csinálnak semmit sem olyan oldalakon, ahol 2-nél többet kell klillelni valaminek az elérésére...

    "Az atombrutál biztonságos véletlenszám alapú generátorokban sem feltétlen szabad megbízni, mert múltkor a debian alapú Linuxok olyan frissítést töltöttek le, ami meggyengítette a generátor "biztonságát"."

    Természetesen én sem olyan oldalakra gondoltam, ahol vérre megy a hitelesítés komolysága (például egy banki tranzakció kezdeményezésekor), hanem az olyanokra, amelyeknél nem olyan nagy gond az, ha valamiért karbantartani kell a szervert pár percig... Szóval a megbízhatóság itt ugyan nagyon fontos, de azért felelősséget nem vállalnék, ha valamilyen "kivétel" keletkezik. Meg aztán én sem szoktam ész nélkül frissítgetni semmit sem.
    Mutasd a teljes hozzászólást!
  • Miért scrollos ez a hozzászólási izé? Na mind1...szóval hogy veszed rá az usert, hogy megbízzon a szerveredben?

    Ez még a könnyebbik eset,de hogy veszed rá mondjuk a Vaterát, vagy Iwiwet, hogy a te hitelesítéseddel be tudjon hozzájuk bárki lépkedni?


    Van megoldás, hogy ne kelljen jelszó meg semmi...süti, session ID, meg egyéb egyedi vackok generálása amit user az első regnél megkap, maximum nem tud róla. Lehet bonyolítani, hogy eseleg kap 1 file-t mai csak rá jellemző adatokat tartalmaz, és jelszó helyett mondjuk mindíg ezt feltölti..csak mi van ha elcsórják?

    Az atombrutál biztonságos véletlenszám alapú generátorokban sem feltétlen szabad megbízni, mert múltkor a debian alapú Linuxok olyan frissítést töltöttek le, ami meggyengítette a generátor "biztonságát".
    Mutasd a teljes hozzászólást!
  • Nem foglalom le, sőt ellenkezőleg! Mondok egy példát.

    Keress rá a Google-ben a Banderasz szóra. Az első oldal találatai között nemcsak én vagyok ott, hanem enyhén szólva pornográf oldalra beregisztrált user is, aki hülyegyerek lévén Antonio Banderas nevét magyarosan SZ-vel írta. Ezért fantáziadúsabb hölgy ismerőseim, akik nem járatosak eme szakmában könnyen azt hihetik rólam, hogy én regisztráltam oda is. El tudom képzelni mit gondolhatnak ezek után rólam.

    Ellenben ha lenne egy olyan oldal, ahol mindenki regisztrál, akkor a felhasználók is tisztában lennének azzal, hogy ugyanazon nick sok emberé is lehet, így talán kevésbé fantáziálnának elvetemült gondolatokat a személyemet illetően. Szóval ez így nemhogy hátrány lenne, hanem még előny is...

    Szerk.: Bakker... Most azért sem mutatja a Google azt a bizonyos size-ot, csak a 3. oldalon "Magyar amatőrök..." címmel. Pedig múlt hét pénteken még az első oldalon volt.
    Mutasd a teljes hozzászólást!
  • Nekem kimondottan tetszene, ha mindenhol Banderasz lehetnék, nem kellene csomó nick-el jelen lennem a neten. És szerintem ezzel sokan így vagyunk. Ebből adódóan talán érdemes lenne kiépíteni ezt.


    Szegény többi "Banderasz" mit fog csinálni ha te lefoglalod a nicket. Nekik már csak a "Banderasz43101" fog jutni.
    Mutasd a teljes hozzászólást!
  • "Nem akarlak elkeseríteni."

    Nem keserítesz el. Pont ezért kérdezek előre, hogy ne utána kelljen nyögnöm.

    "Mint koncepció ez 1000 éves dolog (tudod, single sign-on). Mint technológia 1000 módszer és implementáció létezik, még olyan is ami jó, szép és elegáns (pl. Kerberos). Vállalati környezetekben évtizedek óta használják. Internetes környezetekben is régóta megoldott dolog (pl. indapass)."

    Ennek ellenére szerintem nem túlzok, ha azt mondom, hogy a netes társadalom nagy része nemhogy használná, de még csak nem is ismeri ezeket. Nem beszélve az oldalak üzemeltetőiről, mivel azok sem erőltetik ezeket. Vagyis hiába létezik 1000 alternetíva, ha mégsem igen terjedtek el. Ez pedig jókora ellentmondás nem?

    "Nagy cégek buktak már bele hasonló próbálkozásba és öltek dollár milliárdokat bele (lásd .NET Passport, Windows Live ID)."

    Én nem ölnék ekkora összeget erre (de jó is lenne, ha lehetőségem lenne rá). És velük ellentétben én nem a haszonért, hanem az egységesítésért, a netes káosz csipetnyi csillapításáért tenném. Semmilyen oldaltól nem kérnék jogdíjat ezért, és persze a felhasználók regisztrációi is teljesen ingyenesek lennének. Az oldalon minössze egyetlen rekámcsík lenne felül (klaszikus módszer egy ingyenes site életben tartására). A lényeg az lenne, hogy egyszerű, kényelmes, és megbízható legyen.
    Mutasd a teljes hozzászólást!
  • A bukást idézőjelben értem, hogy nem érte el a célját és csak szűk körben, a helyi érdekeltségű oldalakon van elterjedve a használata, nem globálisan.
    Mutasd a teljes hozzászólást!
  • Nem akarlak elkeseríteni. Mint koncepció ez 1000 éves dolog (tudod, single sign-on). Mint technológia 1000 módszer és implementáció létezik, még olyan is ami jó, szép és elegáns (pl. Kerberos). Vállalati környezetekben évtizedek óta használják. Internetes környezetekben is régóta megoldott dolog (pl. indapass). Nagy cégek buktak már bele hasonló próbálkozásba és öltek dollár milliárdokat bele (lásd .NET Passport, Windows Live ID).
    Mutasd a teljes hozzászólást!
  • Nem célom az ekkora méretű globalizáció. És eszem ágában sem lenne kiadni sem az MS-nek, sem a Google-nek, sem semmilyen multinak. Meg nem igazán értem, hogy ez miért jelent hatalmat? Hiszen az oldal nem kezd semmit a regisztrációkkal, csak hitelesít, meg maximum statisztikát végez. Én ebben nem érzem a hatalmat (bár lehet, hogy csak velem van a baj...).
    Mutasd a teljes hozzászólást!
  • Kicsit spanyol viasz. (nem olvastam el az egesz hszt)
    intraneten mukodik(tartomany), mert megbizhato a hitelesitesi szerver, de az interneten kie legyen ez a hitelesitesi hatalom? - a MS-e? - a Google-e? Egy helyre betor a fekete kalap, es maris o a vilag ura. Nem jo mindent globalizalni...
    Ennel jobb modszer lenne, ha mindenki rendelkezne hitelesitett digitalis alairassal, de az is felvet nehany problemat.
    Mutasd a teljes hozzászólást!
  • Sziasztok fejlesztők!

    Általánosságban elmondható, hogy nem szerencsés, ha valaki úgy rukkol elő új ötletével, hogy azt még meg sem valósította, hiszen ötletét lenyúlva bármelyik fejlesztő előbb implementálhatja azt, mint saját maga, így a saját ötletből csak bukás lesz a végén. Csakhogy ezúttal én egy olyan ötlettel rukkolnék elő, aminek csak akkor derül ki, hogy van-e értelme megvalósítani, ha kimondottan az oldalak fejlesztőit, vagyis titeket megkérdezlek. Ez ugyanis nem a nagyközönségnek szól, hanem nektek WEBmestereknek.

    Bizonyára kismillióan találkoztatok már (mint felhasználó) azzal a jelenséggel, hogy az interneten szinte minden csak egy "röpke" regisztráció után elérhető. Mindez akkor válik bosszantóvá, ha mondjuk 25 helyen kell magad regisztrálni ahhoz, hogy mindent elérj, amit szeretnél, illetve akkor mégbosszantóbb, ha mindenhová más felhasználónévvel vagy muszáj regelni, mert a kedvenced (vagy az egyéniségedhez leinkább passzoló) már foglalt.

    Fejlesztői oldalról nézve a kérdést is az mutatkozik meg, hogy az oldalainkra beregisztrált felhasználók könnyűszerrel megtehetik azt, hogy nemcsak 1 nick-el, hanem többel is regisztrálnak, így pontosan nem lehet nyomon követni, hogy valójában hány személy is látogatta meg az oldalt regisztrációjával. És ezellen nem lehet mit tenni.

    Az én elképzelésem az, hogy csinálnék egy olyan oldalt, ami csak regisztrációkkal foglalkozik, semmi mással. Az interneten így semmilyen más oldalon nem kellene külön azonosítóval regisztrálni, mert ez az oldal elintézné ugyanezt.

    A felhasználó, beregisztrálja magát ezen az oldalon méghozzá olyan felhasználó névvel, amilyennel csak szeretné (nem gond, ha a nick már foglalt). Ekkor megadja a kívánt felhasználónevet, meg jelszót, és cserébe kap egy egyedi azonosítót. Ezt követően bármely más oldalon csak annyi volna a regisztrációja, hogy megadja az azonosítóját, meg a jelszavát, és az oldal egy https kapcsolaton keresztül autentikációt kérne az regisztrációs oldaltól. Ha ez sikeres, akkor az visszaadná a felhasználó nick-jét, sikertelen esetben pedig semmit. És ezt minden egyes olyan oldalon megtehetné a felhasználó, amely támogatja ezt a fajta regisztrációt.

    A módszer előnyei:
    - A felhasználóknak nem kell minden egyes oldalon külön regisztrálniuk.
    - Minden site-on pontosan nyomon követhető, hogy hány regisztrált felhasználója van.
    - Nem kell a regisztrációkor attól tartani, hogy a kívánt nick már foglalt.
    - Nem kell minden egyes oldalba regisztrációt építeni, csak annyit, amennyi egyéb információra szüksége ven az oldalnak a felhasználóról.
    - Nem az e-mail címmel kell regisztrálni, vagyis kevésbé kell tartani a mégtöbb SPAM-tól.
    - Az adatok megörzése még biztonságosabb, hiszen nemcsak felhasználónévvel meg jelszóval kell azonosítani magunkat, ha mondjuk jelszót cserélünk, hanem az azonosítónkkal is.
    - Kicsivel kevesebb információt is elég tárolni a felhasználókról adatbázisainkban.

    Hátrányai:
    - Mi van akkor, ha olyan oldalra akar bejelentkezni a felhasználó, ahol követelmény, hogy minden user-nek különböző nick-je legyen?
    - Mi van akkor, ha a user elfelejti az azonosítóját, vagy a jelszavát? Ilyenkor hogyan hitelesíthető az az e-mail címe nélkül?

    Konklúzió:
    Nekem kimondottan tetszene, ha mindenhol Banderasz lehetnék, nem kellene csomó nick-el jelen lennem a neten. És szerintem ezzel sokan így vagyunk. Ebből adódóan talán érdemes lenne kiépíteni ezt.

    Vita:
    Beszéljük meg (vagy akár vitassuk meg), hogy szerintetek volna-e egy ilyen rendszernek értelme. Mik a további előnyei, és mik a hátrányai? Ti, mint fejlesztők megbíznátok-e egy efféle user-autentikációban? És ha igen, hajlandóak lennétek-e használni is? Igazából mindenkinek a véleménye érdekel, mind felhasználói oldalról, mind fejlesztői (avagy oldal-üzemeltetői) oldalról. Bárkinek bármilyen véleménye van, most adja elő, vagy tartsa meg magában örökre...

    Hab a tortára:
    Ez a módszer egyben drasztikusan csökkenthetné itt a Prog.Hu-n is a színvonaltalan hülye kérdések számát azzal, hogy bizonyos időközönként egy ellenörző kérdéssel lebuktatható lenne az, aki még így is több nick-et használ.

    Ha tehát van értelme, akkor támasszátok alá érveitekkel, illetve egészítsétek ki ötleteitekkel, ha meg nincs értelme, akkor meg beszéljetek le róla (persze kúltúráltan).

    Előre is köszönök minden hozzászólást.
    Mutasd a teljes hozzászólást!
abcd