tag: security

19Dec

Konstruáljunk web API-t - 2. felvonás

Amikor az ember webről beszél, a legtöbb esetben színes weboldalakat képzel el, ezerféle közösségi platform belépéssel, ahol az ember minden mozzanatát lépésen tudják követni különböző módszerekkel, hogy a leginkább testreszabott élményt kapja. Ha bejelentkezünk egy oldalra, akkor a következő oldalbetöltéskor már az üdvözlő képernyő fogad, azt a hamis érzést keltve, hogy a weboldal tudja, hogy pontosan kik is vagyunk. Ez persze közel sem igaz, csupán a böngészőnk által küldött sütiben szerepel egy session ID, amivel azonosítanak bennünket és ezáltal hozzánk igazíthatják az oldal tartalmát. Ehhez viszont az kell, hogy a böngésző süti ide-oda közlekedjen a kérésekben/válaszokban. Azt már tudjuk régről, hogy a HTTP az egy ún. stateless protokoll, vagyis a két egymást követő lekérés közt nincs semmiféle kapcsolat, állapotváltozás. Ezt hivatott áthidalni az imént említett sütis megoldás. Azonban amikor REST webservicekről beszélünk, ott ez a sütis módszer nincs jelen. A korábbi példákban ez nem is okozott gondot, hiszen még nem volt szó arról, hogy ki mit is csinálhat az adott REST erőforrásokkal. Viszont mi a helyzet akkor, ha bizonyos műveleteket csak adott jogosultság mellett szeretnénk megengedni? Valamilyen formában tudtára kell adjuk a szervernek, hogy mégis kik vagyunk, ami alapján ő vagy végrehajtja az említett műveletet, vagy egy jól irányzott 401-es válasszal finoman elutasít bennünket. Ilyen műveletek lehetnek pl. azok, amikor törölni akarunk egy elemet, hozzá akarunk adni, módosítani, netán valakinek a privát dolgaiba akarunk kutakodni. Cikkünkben belepillantást nyerünk abba, hogy mi is az OAuth2.0 protokoll és hogy segíthet nekünk a fentiekben, third party vagy épp a saját API-nk használatakor.

Tovább »

25Oct

Dokkolnám, dokkolnám!

5766236_600x400

A konténerek használata sok mindenben segítségünkre lehet...

A múltkori vagrantos cikkemben bemutattam, hogy is lehet egy fejvesztési környezetet létrehozni a saját gépünkön a Virtualbox vagy VmWare-re épülő Vagrant segítségével. Ez a fajta virtualizáció elérhető az összes platformon, így segítségül szolgálhat a fejlesztők számára. Ha ezt át szeretnénk ültetni a szervereinkre, mert ráeszméltünk az előnyeire, akkor előbb-utóbb rájövünk, hogy ez a megoldás nem az igazi, ha pl. az alkalmazásainkat akarjuk deployolni ide, mert lassú és habár a host rendszertől erősen elszeparált, mégsem erre a célra való (habár kombinációról majd szó lesz a későbbiekben).

Tovább »

10Feb

Az MD5 árt az egészségnek!

Mázlim volt és ezen a szerveren se volt letiltva az eval függvény (ahogy sok más sem 3:)), így most szabadon garázdálkodhatok rajta. Hozzá is adtam rögtön egy felhasználót magamnak c999-en át Mai témánk az lesz, hogy miért is kéne kerülnünk az ősöreg MD5 128 bites egyirányú kódolási eljárásnak a használatát, legalábbis ha szerveroldalon tárolt adat összefüggésében tesszük azt. Fájlok eredetiségének az ellenőrzésére továbbra is alkalmas.multi_index_hashing Az egészet 1991-ben fejlesztették ki az akkor már elavult MD4 lecserélésére. Furcsamód 96-ban már találtak is benne egy biztonsági rést és már ekkor terelgették a népet egyéb hashelési eljárások (pl. Sha-1) használatára, de az emberek (és itt a PHP-sekre gondolok) bőszen ellenálltak a dolognak.

Tovább »

18Jan

Szabjuk át a szerverünket - 1. rész

Ha az ember webfejlesztéssel foglalkozik, óhatatlan, hogy előbb-utóbb elcsábuljon, netán rendszergizda híján rákényszerüljön, hogy a szerverüzemeltetésbe belekóstoljon. Itt most csak és kizárólag Linux alapú szerverekről fogok beszélni, ezért aki IS infókban reménykedett, azt el kell szomorítsam. Többféle distribution akad, de jómagam a Debian mellett tettem le a voksom, mert ezt találtam (és sokan mások is) a legstabilabbnak, így azon fogom bemutatni a dolgokat.

Tovább »

2014-2018 © Letscode.hu. Minden jog fenntartva. Build verzió: