Aktywne Wpisy
takiMirek29 +6
Warto #!$%@?ć za kasą kosztem braku czasu wolnego? Ile można tak wytrzymać? Ktoś zjechał psychicznie po dłuższym czasie intensywnej pracy i teraz żałuje? Albo ktoś robil OE i nie siadły mu godziny pracy i z czasem się wypalił?
Skąd się bierze taka chęć do szybkiego dorobienia się po trupach?
30lvl here
#programista15k #pracait #pracbaza
Skąd się bierze taka chęć do szybkiego dorobienia się po trupach?
30lvl here
#programista15k #pracait #pracbaza
Aktywne Znaleziska
Zawiera treści 18+
Ta treść została oznaczona jako materiał kontrowersyjny lub dla dorosłych.
Czy ja dobrze rozumiem, ze podczas logowania gdy użytkownik wpisuje login i hasło i wciska 'zaloguj' przeglądarka za pomocą certyfikatu SSL szyfruje cały request i wysyła na serwer i to nam zapewnia, że login i hasło są bezpieczne?
1. Jeśli tak to po zalogowaniu jak już dostaniemy token JWT i mamy w headerze token bearer, który poświadcza naszą autentyczność, to czy cały token JWT też jest za każdym razem szyfrowany przy każdym requescie czy szyfrowanie odbywa się tylko przy logowaniu i ewentualnie przesyłaniu wrażliwych danych typu numer karty kredytowej?
2. Gdy serwer dostanie nasze dane gdy np. tworzymy nowego użytkownika to zakładając, że są one zaszyfrowane przez SSL to jak to się dzieje(o ile się dzieje), że z poziomu kodu serwer "nie widzi", np. przy debugu, faktycznych, nie zaszyfrowanych, haseł użytkownika i w sposób bezpieczny zapisuje je do bazy już zaszyfrowane?
#programowanie #https #ssl #security #informatyka
1. Jeżeli masz https to szyfrowany jest cały ruch, także headery przy każdym requeście.
2. Request jest rozszyfrowany jak dochodzi do miejsca gdzie jest terminacja SSL (np. w serwerze www). Potem jest już rozszyfrowany, więc jeżeli logujesz przesyłane hasło to jest ono zapisywane w logach. Hasła nie są zapisywane do bazy (tzn. nie powinny być, ale nie masz pewności, zawsze używaj różnych haseł do różnych serwisów).
Serwer widzi hasła użytkownika bez szyfrowania, ale przechowywuje je najczęściej zahashowane (nie mylić z szyfrowaniem) - serwer nie porównuje przysłanego hasła bezpośrednio z tym w bazie,
@lifapek: widzi, po prostu trzeba projektować system tak, żeby nie dało się nic zobaczyć np. jak logujesz requesty zawierające