Wpis z mikrobloga

@sekurak: bardzo dobre zadanie rekrutacyjne ( ͡° ͜ʖ ͡°)

@filozof900: po "apiSerivice" wnioskuję, że tym odpala dowolne query na backendzie i zwraca wyniki na front

@x-odus
@filozof900
@vvertoi
@sekurak

Poprawcie mnie, ale w ogóle walidacja logowania po stronie frontu jest bezdennie głupia (przynajmniej w taki sposób). W sensie nawet jeśli to nie byłby plaintext to gościu pokazałby funkcje #!$%@? i ewentualnie użytą sól. Czy może są jakieś fajne opcje na zrobienie tego dobrze po stronie frontu?

@Bomfastic: API

@sekurak ciekawe ile osób dało plusa tylko dlatego, żeby udawać że rozumie ( ͡º ͜ʖ͡º)

@sekurak: nie lepiej tylko od razu ustawić cookies?

@sekurak: co

@Tszmiel: to jest API? Wygląda jak jQuery, a przynajmniej ma operacje na DOM.

No chyba, że to jakiś framework, których jest pierdyliard.

Raczej jednak nie ma opcji, aby jakiś transkompilator/transinterpreter rozróżnił obie funkcje, bo nie ma takiej informacji w tym kodzie.
No chyba, że to magiczne "true" === "true" jakoś oznacza/markuje funkcję.

Czy aby nie przypadkiem jest sobie jakiś Ajaxowy zasób, który przyjmuje gołe zapytania SQL przez apiService?!

@patrolez imo wcześniej gdzieś został utworzony obiekt który wysyła ajaxa z zapytaniem czyli to całe apiservice.sql, ale kurła co to za API które łyka całe zapytanie SQL. Lepszym rozwiązaniem byłoby przesłanie temu API usera i password i to API zwraca rekord albo zwraca fałsz i wtedy działamy. Twarda walidacja po stronie frontu jest skazana na upośledzenie

@sekurak: @vvertoi: @eternitowy-Bogdan: @PelenSpokoj: @xetrov: @Czesiowcy: @TymRazemNieBedeBordo: @vvertoi: @bladykiel: @filozof900: @x-odus: @TymRazemNieBedeBordo: @Przegrywek123: @SiergiejLapczydow: @maciejze: @cius: @razvizion: @jamnig: @Bomfastic:

Sorry za wołanko, ale ze sie tak zapytam jako noob kompletny (kiedys cos programowalem w C++ i Delphi, ten kod w wiekszosci zrozumialem)
Ale jak wygladac powinno prawilne logowanie?
Wywolywanie po hashach? Jak toPokaż całość

@loczyn: nie taką zbędną pętlą, nie na froncie, nie trzymać haseł plaintextem - to takie absolutne podstawy.

ciekawe ile osób dało plusa tylko dlatego, żeby udawać że rozumie

@MissPinguin: ja uparcie czytam komentarze... i dalej nie rozumiem.
Ale ja programistów i programowania nie cierpię ¯\_(ツ)_/¯

@sekurak: i pewnie jeszcze bez https:)

@loczyn: To nie jest temat na komentarz na wykopie.
Z tego co na pierwszej stronie w google się wyświetla:
https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence

@loczyn: potrzebujesz backend, ktorego nie da sie podejrzec w kodzie strony, jak w tym wypadku. To on powinien decydować czy otrzymane hasło i login są prawidłowe, następnie tworzyć sesję, storować ją gdzieś po swojej stronie i odpowiadać tylko jej id. Potem jedynie sprawdzać czy ciastko zawiera id aktywnej sesji czy coś.

@loczyn: żaden system nie przejdzie audytu bezpieczeństwa jeśli admin trzyma w bazie danych loginy i hasła w plaintext co jeszcze można się do tego dostac po api. Najprostszym sposobem jest porównywanie hashy plus można wymyślać jakieś sprytne metody tworzenia tego hasha

@sekurak: Czy to jest przykład z życia, czy fake? Może spróbujmy wymienić wszystkie problemy w tym kodzie od najbardziej karygodnych do najmniej szkodliwych:

1) Api wygląda tak jakby pozwalało frontowi wykonywać dowolne operacje na bazie danych. Pierwsze co przychodzi do głowy złośliwemu, to w konsoli wpisać apiService.sql("DROP TABLE users")
...
...
...
2) Dane o wszystkich użytkownikach trafiają do frontu razem z hasłami.
3) Hasła są niezahashowane.
4) Ciasteczko jest trywialnePokaż całość

@cius: @jamnig: @razvizion: @xetrov: Większość rozumiem, tylko jak by ktoś mógł w mega prostacki i krótki sposób wytłumaczyć jak działają hashe.
To jakiś ciąg znaków dopisany do usera i wyciąga się po nim dane z bazy?

Jak wpiszę loczyn jako user i spróbuję się zalogować to algorytm go zamieni np na 5Xy3a1 i szuka czegoś takiego w bazie i tam wyciąga potrzebne rzeczy czyli login i moje hasłoPokaż całość