ЭТИКА РАЗРАБОТКИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Если вы разрабатываете приложение, поддерживающее пароли, и вас просят спроектировать функцию восстановления пароля, вы должны вежливо отклонить эту просьбу, предупредив работающих над проектом о рисках, и предложить альтернативное решение, предоставляющее схожие возможности. Так же как электрик должен распознавать и корректировать проектирование электропроводки, имеющей риск пожароопасности, ваш долг, как инженера программного обеспечения, — знать о проблемах безопасности и разрабатывать безопасное программное обеспечение. Если вам требуется http://compmasterspb.ru/, то обращайтесь к профессионалам сюда: compmasterspb.ru.
Хорошая книга, которую вы должны прочитать, — «19 Deadly Sins of Software Security» |10|. Также массу полезной информации вы можете найти на ресурсе «Ореп Web Application Security Project» (owasp.org].
Вы можете найти различия между понятиями идентификация и аутентификация. Пользователь может идентифицировать себя кем угодно, но аутентификация подтвердит, тот ли он, за кого себя выдает. Пароли — самый распространенный способ сделать это.
Если вы не в состоянии обеспечить достаточно высокую безопасность, чтобы победить квалифицированных и решительных взломщиков, то вам эффективнее иметь механизм идентификации, чем ненадежный механизм аутентификации. Но это не будет нарушением сделки.
Не каждое приложение находится под угрозой атаки, и не каждое приложение содержит важную информацию, которая должна быть защищена. Например, к веб-приложению может присоединиться только небольшое число проверенных людей, являющихся честными и отзывчивыми. В этом случае идентификационного механизма будет достаточно для работы с приложением, и в этой неофициальной обстановке более простой вход в систему может быть вполне адекватным.
Дополнительная работа, необходимая для создания мощной системы аутентификации, может быть неоправданной.
Все же будьте внимательны — приложения имеют тенденцию развиваться за пределы их исходной среды или роли. Прежде чем вы сделаете свое оригинальное небольшое веб-приложение доступным за пределами сетевой защиты вашей компании, вы должны отдать его на проверку квалифицированному эксперту по безопасности.
20.5. РЕШЕНИЕ: ХРАНЕНИЕ ПАРОЛЯ В ВИДЕ БЕСПОРЯДОЧНОГО НАБОРА СИМВОЛОВ
Главная проблема этого антипаттерна состоит в том, что исходный вид пароля читаем. Но вы можете аутентифицировать пользователя по введенному паролю, не читая его. Данный раздел описывает, как реализовать такой вид безопасного хранения паролей в базе данных SQL.
Опубликовал vovan666
July 31 2013 07:55:26 ·
0 Комментариев ·
2861 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
