Dobrá rada od toho, který má přezdívku MaD
Vážení,
Předpokládám, že vy, kteří jste na tomto blogu, občas uděláte i nějakou onlineovku.
Buďte prosím od té dobroty a pro vaše vlastní dobro dělejte vaše onlinovky tak, aby se z nich nedaly jednoduše ukrást osobní data typu jméno a email. Rozhodně tedy nenásledujte příklad http://naposeduhra.cz, což je hra natolik nezabezpečená, že nejen, že člověk může jednoduše přidávat svá skóre do celkových výsledků, aniž by hru hrál, ale může všechna skóre smazat, či, a co je zajímavější, si zkopírovat všechny emaily z databáze výsledků.
Tak prosím ne!
Přeji pěkné navrhování a kódění, váš MaD…
8 odezev
A nestaci si jen udelat email, ktery slouzi jenom k tomu, se nekde registrovat. A ten email nepouzivat nikde jinde ?
Takze, at si do nej leze „kdo chce“ 🙂
Nebo existujou 10 minutove maily. 😉
Mail se dá zneužít různými způsoby. Jako zdroj spamu nebo jako falešná identita. Nejsem odborník na zabezpečení, ale je jasné, že tyhle věci jsou problém. Dneska je online skoro všechno, ale lidi se mají tendenci chovat tak naivně, jako by šlo pořád jen o videohry.
Predstava, ze vsichni lide jsou natolik fikani, aby nedavali svuj realny email vsude, kde je kolonka „email“ je licha… Skoro bych se odvazil tvrdit, ze je tomu naopak. Na te strance je uz slusna databaze 205ti unikatnich emailu. 139× seznam.cz, 30× gmail.com, 2× studenti.czu.cz
>Mad: Možná bys mohl dát nějaké rady, jak předejít alespoň základním rizikům. Některé věci člověka napadnou, ale myslím, že je snadné i při veškeré snaze nechat vrata dokořán. Tak by se hodilo vědět, jak třeba postupuje člověk, který se někam prolomit chce. Co zkusí jako první, co by ho odradilo, a tak podobně.
Primarni rada je: neukladejte si nici emaily… Proc taky… K identifikaci vysledku staci ID vysledku, pripadne cas ulozeni…
Pokud vam zas tolik nesejte na tom, ze taci, jako ja, si mohou do vasich vysledku vpisovat co chteji a mazat z nich, co chteji, pak vic resit nemusite. Pokud jste ovsem tvrdi zastanci fair-play, pak doporucuji vyhnout se javascriptu. Da se za behu nabourat i zakem zakladni skoly. I kdyz to nerad rikam, nejvhodnejsi platformou z „bezpecnostniho hlediska“ je flash, i kdyz je to pekela vec.
Co se konkretni ochrany tyce, je to pak otazkou dane implementace…
Tak to se určitě dodržet dá. Když člověk potřebuje identifikovat hráče podle mailu, stačí nejspíš z těch údajů udělat md5 s patřičnou solí a to by mělo myslím stačit. Ukládat maily samotné určitě není potřeba. 🙂
Pokud si je neukládáš, tak je pak těžko prodáš nějakému spammerovy. Na většině službách vůbec nejsou maily třeba… Ale když se registruji na nějaké zhovadilosti tak používám např. 10minute – i když už je to taky mnohdy blokované..
Bohužel jsem udělal spoustu chyb a tak mám na své dva hlavní meily registrovanou spoustu věcí, které byly následně zneužity pro posílání spamu… A občas je fakt těžké se toho zbavit. 🙁
Teď pro změnu v rámci snížení bezpečnosti na minimum používám gúčet, fúčet nebo cokoliv kde stačí jednou kliknout. 😀
3theatre