Oldal: 1 / 3 123 UtolsóUtolsó
Eredmény: 1 - 10 (21) összesen

Téma: Blog bejegyzésre kérek kritikát

  1. #1
    Bölcs
    Csatlakozott
    12-08-31
    Hozzászólás
    1.032
    Begyűjtött 351 köszönetet
    239 hozzászólásával

    Alapbeállítás Blog bejegyzésre kérek kritikát

    Sziasztok!

    Ezúttal nem a weblapra várok kritikát, bár ha építőjellegű, akkor annak is örülök persze. Most egy blog bejegyzésemet szeretném ha szétboncolnátok.

    Számomra ez azért lenne fontos, mert ez az első olyan szakmai blogom, ahol ilyen témában, magam írok és szeretném azt tényleg jó színvonalon készíteni, mert az a tapasztalatom, hogy erre lenne igény, de nincs igazán jó oldal a témában. Tisztelet a kivételeknek, nyilván van olyan oldal, amivel még nem találkoztam.

    Az oldalhoz tartozik egy üzleti terv is, tehát a minőség a márkaépítéshez kell.

    Szerencsére van itt a fórumon néhány jó szakember, aki meg tudja szakérteni a bejegyzést és tud kritikát mondani rá. Az is érdekel, ha nagyon nagy marhaságot láttok benne, az is ha még kibővítenétek valamivel.

    Viszont ma van a szülinapom (nem vicc), szóval legyetek kíméletesek, amikor fogalmaztok

    És akkor a várva várt link:
    Biztonságos bejelentkezés | Webmester Blog



  2. #2
    Bölcs Andrea logója
    Csatlakozott
    08-03-26
    Hozzászólás
    1.033
    Begyűjtött 278 köszönetet
    213 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    A témához nem szólnék, átfutottam, érdekes, jól összefoglaltnak látom, de könyörgöm, az osszd-ból vedd ki az egyik s-t, kiveri a szemem.



  3. Az alábbi felhasználók hálásak a válaszért:

    mahone (2015-06-12)

  4. #3
    Bölcs
    Csatlakozott
    12-08-31
    Hozzászólás
    1.032
    Begyűjtött 351 köszönetet
    239 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Hoppá köszönöm, hogy szóltál



  5. #4
    Bölcs esotanc logója
    Csatlakozott
    11-02-08
    Hely
    Törökszentmiklós
    Hozzászólás
    2.000
    Begyűjtött 1.245 köszönetet
    640 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Használj nagyobb betűt. Biztos érdekes a cikk, de 6 óra vezetés után amikor megláttam a betűméretet az első sor után feladtam.



  6. #5
    Bölcs
    Csatlakozott
    12-08-31
    Hozzászólás
    1.032
    Begyűjtött 351 köszönetet
    239 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Ezt dobta a sablon, de megfogadom, köszönöm

    (A bejegyzés tartalmáról is írjatok azért )



  7. #6
    a zsolti
    Vendég

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    huhh, hát szerintem ne erőltesd. a szándék tök jó, de sok régi, rossz megoldás/technikát használsz, amit 2015-ben jobb lenne már inkább elfelejteni. csak felsorolás szinten, aztán ha érdekel, keress rá, vagy kifejtem bővebben, hogy miért:

    - a filter_input nem garancia rá, hogy valóban a júzer nyomta meg a login gombot. botok ellen inkább CSRF tokent szokás használni.

    - md5()-öt kb tíz éve nem használunk jelszó kódolásra. sha512 meg ilyenekkel szoktak még bohóckodni, de a legjobb egyelőre a bcrypt (és ez még egy kicsit a bruteforce ellen is megoldás).
    How do you use bcrypt for hashing passwords in PHP? - Stack Overflow

    - ez a zárójellel védekezni az sql injection ellen is eléggé felejtős, ahogy a mysql_escape_string is. helyette valami adatbázis layert, vagy a gyári PDO-t és a prepared statement-eket illene használni, és akkor ki is húzhatod az egész bekezédést amit erről írtál.
    PHP: Prepared statements and stored procedures - Manual

    - a beléptetésnél az email cím MX-rekordjának ellenőrzése megbízhatatlan (nem biztosít semmiről), mivel nem kötelező léteznie (ha nincs MX, az A rekord alapján is "kézbesülhet" a levél), másrészt nemlétező email végződésekkel túráztatva a checkdnsrr-t könnyen ledos-olod saját magad.

    "a tiltás helyett egyszerűen csak megváltoztatjuk a felhasználó jelszavát" - ezt totál nem is értem, hogy mi az, hogy egy szolgáltatás, ahova beregisztráltam, a tudtom nélkül átírja a jelszavam...

    - a "túl sok hibás próbálkozáskor tiltás" jó ötlet, csak kicsit túltoltad / irrális feltételezésekre alapozol (hogy nem próbálkozik újra a bot ugyanazzal a jelszóval - miért ne próbálkozhatna?) a bcrypt-nél állítható egy paraméterrel a hash készítés lassúsága, éppen ezért brute force ellen is "véd". plusz ha ehhez még hozzáteszel egy CSRF védelmet, kb. ki is zártad a robotokat.


    Utoljára módosítva: a zsolti által : 2015-06-12 01:48

  8. The Following 2 Users Say Thank You to a zsolti For This Useful Post:

    flaszlo (2015-06-12), Geri (2015-06-12)

  9. #7
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.744
    Begyűjtött 1.428 köszönetet
    892 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Meg annyit tennek hozza az elottem szolohoz, hogy a GLOBALS hasznalata se javasolt.



  10. #8
    Bölcs
    Csatlakozott
    12-08-31
    Hozzászólás
    1.032
    Begyűjtött 351 köszönetet
    239 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Válaszolok sorban:

    filter_input
    Nem írtam rá, hogy garancia, egyedül arra volt szükségem, hogy egy eseményre lefusson a kód.

    md5()
    Csak a leírás miatt használtam, de a bejegyzésben kitérek rá a végén és ott a link is, hogy miket lehet alkalmazni helyette.

    zárójel
    Egyszerűsége ellenére működik és könnyen emészthető példa. Amit küldtél függetlenül jobb megoldás lehet. A hétvégén bele is fogom ásni magamat és ha úgy látom bele is fogom írni a tutorialba.

    megváltoztatott jelszó
    Ahogy írtam is a megváltozott jelszóról kap értesítést a felhasználó. Tudni fogja mi az új jelszava és azt is, hogy miért. Belépés után tud jelszót változtatni. Le is írtam, hogy ez baromi kényelmetlen és nem javaslom a használatát. DE én már találkoztam ilyennel pár éve egy oldalon.

    A GLOBALS használata szintén csak a példa miatt van, mivel az adatbázis kapcsolat létrehozása nem a fő témája a leírásnak. Ez a megoldás arra szolgált, hogy ezt a részt a legegyszerűbben bemutassam, hiszen enélkül nem tudnád tesztelni a letölthető kódot. A saját rendszeremben nem így használom, de az erre a célra írt összes osztályomat és függvényemet nyilván nem fogom leírni ezért. Akkor már CMS tutorial lenne

    Tovább megyek, az írtam, hogy "feltehetően" nem fog újrapróbálkozni azzal a jelszóval. Nem azt írtam, hogy biztosan nem fog.

    "huhh, hát szerintem ne erőltesd" ezt most próbálom nem sértésnek felfogni. Utánanézek azoknak amiket írtatok.

    Kérdésem az lenne, hogy ha biztosítok hozzá felületet, be tudnátok jelentkezni anélkül, hogy ismernétek a felhasználók jelszavát?



  11. #9
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.744
    Begyűjtött 1.428 köszönetet
    892 hozzászólásával

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    Idézet Karessz eredeti hozzászólása Hozzászólás megtekintése
    Kérdésem az lenne, hogy ha biztosítok hozzá felületet, be tudnátok jelentkezni anélkül, hogy ismernétek a felhasználók jelszavát?
    A post vegerol letoltheto demo kodot megnezve van benne serulekenyseg.



  12. #10
    a zsolti
    Vendég

    Alapbeállítás re: Blog bejegyzésre kérek kritikát

    de ha írsz egy oktatócikket (gondolom annak szántad), akkor nem hagyhatsz benne rossz megoldásokkal (főleg, hogy még állítólag tudod is róla, hogy rossz megoldások). gondolom aki elolvassa a cikket, azért teszi, hogy tanuljon belőle. aztán majd md5-özni fog, meg queryket zárójelezni, mert ezt olvastam egy "biztonságról" szóló cikkben...

    én ilyen önkényesen átírt jelszó módszerről még nem hallottam (sehol sem módosítják on-the-fly a jelszavad, legfeljebb befagyasztják az accountot). de mondom a lyukat: megszereztem az email címed és bent vagyok a levelezésedben. viszont az xy.com-ot is szeretném feltörni, ahová a címmel regisztráltál. elkezdek direkt rossz jelszavakkal megpróbálni belépni, és hopp már jön is az email fiókba az új jelszó.



Oldal: 1 / 3 123 UtolsóUtolsó

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •