paranoia és adatvédelem

[Zaphod]

Idézet:

KForum eredeti hozzászólása

A kényes adatokat pl számok stb irasd ki képpel (GD) vagy mint a DIV nek a háttere vagy ami mégjobb java applettel:
hxxp://www.cellspark.com/P0.html

Ezzen nem megy a Save As, a képet sem tudja lementeni, a forráskód is eléggé zürös.

Ezzel:
<link rel="stylesheet" type="text/css" href="print.css" media="print" />

Csinálhatsz egy "TITKOS" feliratu lapot, és akkor az átlag juzer nem tudja kinyomtatni sem.


/OFF
Ha minden usered FF et kell használjon, akkor valami pluginben kellene gondolkoni, ami pl megtoldja a User Agent stringet egy kóddal, ha az nincsen meg akkor nem engeded be, a plugin meg valamilyen szinten "decodolná" az aktuális lap taralmát, stb.
/OFF

No kérem ez hsz. Erre való egy fórum. Az ember fia kérdez, és akinek van ötlete (lehetőleg építő jellegű) az válaszol. Sőt, erről nem csak egy fórum szól hanem az egész informatika. A magam részéről több, mint 20 éve csinálom és az egész kérdésekről, ötletekről, megoldásokról szólt és szól ma is. Olyan nincs hogy valaki mindent tud. Kérdezni nem szégyen; sőt, segíteni sem. Köszönöm.

Az adatok képben való megjelenítése, azok sokasága és összefüggései miatt nem használhatóak, de ezen a szálon elindulva sok jó dolog sülhet ki.

a nyomtatásos ötlet is használható, de a legnagyobb a FF plugin. Ez szinte tökéletes a látogatók (akarom mondani: felhasználók) megválogatására.

Ez ugyanis (már említettem talán) nem egy publikus website, hanem egy webes alkalmazás, ahol ráadásul igen fontos hogy a lehető legkevesebb kárt lehessen okozni, akár vétlenül vagy véletlenül.

[MAG]

Az FF plugin jó ötlet de esetleg telefonnal is meg lehet oldani. A user felhívja a megadott számot (vagy SMS-est küld) és a rendszer a telszám alapján azonosítva visszaküld egy belépő kódot ami néhány percig felhasználható. Az ideiglenes kód a loginnál is megkérhető, tehát login -> SMS-ben jön a kód a user telefonszámára -> ezt kell beírnia a továbblépéshez.

[Zaphod]

Idézet:

MAG eredeti hozzászólása

Az FF plugin jó ötlet de esetleg telefonnal is meg lehet oldani. A user felhívja a megadott számot (vagy SMS-est küld) és a rendszer a telszám alapján azonosítva visszaküld egy belépő kódot ami néhány percig felhasználható. Az ideiglenes kód a loginnál is megkérhető, tehát login -> SMS-ben jön a kód a user telefonszámára -> ezt kell beírnia a továbblépéshez.

Ez is jó ötlet, de nem ide. Ez egy egész nagy cég és a partnerei közti kommunikációt (is) szolgálja, illetve irányítja a cég mindennapi életét és az alkalmazottak munkáját. Picit sok sms-t kellene küldözgeti és sztem inkább felmondanának a munkatársak és felbontanák a partnerek a szerződést ha minden belépéshez küdenének és kapnának 1-1 más kódot. Viszont az ötlet jó, máshová.

[KForum]

VPN-t vagy HTTPS-t használsz?

Login rendszer meg a legjobb megoldás amit én tudok az a USB Key, igy nem adhatja oda másnak sem a plugint sem a belépési adatokat.

[MAG]

Ha nagyobb cég akkor szét lehet nézni az aladdin.com-on:
hxxp://www.aladdin.com/etoken/devices/default.aspx

[edem]

Idézet:

Zaphod eredeti hozzászólása

Indeed. Mondaná Teal'c barátunk.
Védekezni MINDEN ellen nem lehet és nem is akarok. Ez hasonlatos a fényképezés esetéhez. A kérdés elsősorban a megoldható és a user dolgát igencsak megnehezítendő megoldásokra irányul.

Teal'c a Stargate-ben volt?

Idézet:

Zaphod eredeti hozzászólása

Szerinted.



Épp az ilyenek ellen keresek nagyobb védelmet és tettem fel a témát, tutira tud valaki olyan amit én nem.



Mint említettem nem a ,,kardhal,, szintű hekkerek ellen szeretnék védekezni...

Erről a hsz-ról egy ősi kínai mondás eszembe:
,,Mielőtt megszólalsz, gondold át, hogy amit mondani akarsz ér e annyit, mint az a csend amit megtörsz vele.,,

Ezeket a kínai mondásokat szeretem.

Idézet:

Zaphod eredeti hozzászólása

No kérem ez hsz. Erre való egy fórum. Az ember fia kérdez, és akinek van ötlete (lehetőleg építő jellegű) az válaszol. Sőt, erről nem csak egy fórum szól hanem az egész informatika. A magam részéről több, mint 20 éve csinálom és az egész kérdésekről, ötletekről, megoldásokról szólt és szól ma is. Olyan nincs hogy valaki mindent tud. Kérdezni nem szégyen; sőt, segíteni sem. Köszönöm.

Az adatok képben való megjelenítése, azok sokasága és összefüggései miatt nem használhatóak, de ezen a szálon elindulva sok jó dolog sülhet ki.

a nyomtatásos ötlet is használható, de a legnagyobb a FF plugin. Ez szinte tökéletes a látogatók (akarom mondani: felhasználók) megválogatására.

Ez ugyanis (már említettem talán) nem egy publikus website, hanem egy webes alkalmazás, ahol ráadásul igen fontos hogy a lehető legkevesebb kárt lehessen okozni, akár vétlenül vagy véletlenül.

Amúgy jó lenne tudni, hogy tulajdonképpen miről is szól ez az alkalmazás? Itt a cégnél pont most készítettem el egy hasonlót és itt úgy csináltam meg ezt, hogy az adatbázisban van egy tábla, amiben minden loginnévhez hozzá van rendelve egy jogosultsági szint. Vannak "ertekesito"-k, "tulajdonos"-ok, "penzugy" és "management". Ha esetleg valaki újat viszek fel a rendszerbe, akkor alapértelmezettként "ertekesito" lesz és szintén az adatbázisban meg van az is határozva, hogy a különböző szintű emberkék milyen funkciókat használhatnak az oldalon. Így tehát egy értékesítő csak azokat a cuccokat látja, amik rá tartoznak, ha esetleg buherálna mondjuk a $_GET-el, akkor van egy szűrés, ami összeveti a jogosultságaival, és ha nem OK, akkor visszateszi az előző oldalra. Tehát összességében szerintem az a legjobb, ha már eleve nem is láthat olyat, ami szenzitív info.

.htaccess-ben gondolkoztál már?

[Zaphod]

Indeed. Teal'c a Stagate-ben van/volt/lesz

Az alkalmazás egy vállalatirányítási rendszer. Számlázás, iktatás, ki-, és bejövő elektronikus és papír alapú levelezés, ügyfél és partner CRM, hívásnyilvántartás, és kezelés, naptári teendők, riasztások, feladatok, belső levelezés, file megosztás, termelés-, és szolgáltatási folyamatirányítás.... és még nagyjából kismillió funkció, ezer féle statisztika, előrejelzés, stb...

Az adatbázis, illetve a benne tárolt adatok egy általam variált RSA algoritmussal vannak védve. A jogosultságok elsősorban menüpontokhoz kapcsolódnak, de a user profilban beállított egyéb területek, engedélyek még ezeken belül is más-más funkciót engedélyeznek, illetve más adatot láthat/szerkeszthet. Egyazon felületen dolgozik az összes fél (lehet akár 3 is) a megrendelő/partner/alkalmazott illetve maga a cég. Elég nagy rendszer lesz, ha elkészül.

A https cert beszerzése/elkészítése folyamatban, mire kész vagyok minden bizonnyal meglesz. A token-en gondolkodtam én is, az adná a maximális biztonságot, bár a jelszó egy min. 9 karakter hosszú, generált, szám/betű/spec karakter keverék, nem módosítható, abszolút egyedi és RSA kódolva van tárolva. A partnerek és azok alkalmazottainak a számához elég komoly mennyiségű token eszközt kellene legyártatni, megvásárolni. Én ennek örülnék, de...

A rendszer, a forrás file-ok kivülről nem elérhetők. A belépni szándékozó még a belépés előtt egy rakat ellenőrzésen esik át. A leg alapabb vizsgálattól (böngésző típus,stb..) kezdve. A forrásfájlokat illetéktelen nemigazán tudja elindítani. Ez a rész nagyjából rendben. Ami miatt a téma indult, az az, hogy ami már a képernyőn van, az hogy védhető, a jelenleg használt módszereimen túl.

Kaptam jó ötleteket, köszönöm. Ettől függetlenül ha van, még jöhet. Ez érdekes téma lehet ha elfogadjuk hogy a www nem csak websiteok, blogok és közösségi oldalak kiszolgálására használható.

Na még egy kínai mondás az I.Ming dinasztia korából:
Az informatika azon problémák megoldására jön létre, mely problémák nélküle nem léteznének!

[MAG]

Idézet:

Zaphod eredeti hozzászólása

Ami miatt a téma indult, az az, hogy ami már a képernyőn van, az hogy védhető, a jelenleg használt módszereimen túl.

Sehogy. A win védelmeket nem ismerem, a macken két évtizede a shift-alma-3 (képet kreál egyböl), shift-alma-4 (memóriába teszi a képet) kombinációval lehet fényképezni és nincs ellene semmi módszer mivel a shift gombot letiltani nem lehetséges.

[edem]

Idézet:

Zaphod eredeti hozzászólása

Indeed. Teal'c a Stagate-ben van/volt/lesz

Az alkalmazás egy vállalatirányítási rendszer. Számlázás, iktatás, ki-, és bejövő elektronikus és papír alapú levelezés, ügyfél és partner CRM, hívásnyilvántartás, és kezelés, naptári teendők, riasztások, feladatok, belső levelezés, file megosztás, termelés-, és szolgáltatási folyamatirányítás.... és még nagyjából kismillió funkció, ezer féle statisztika, előrejelzés, stb...

Az adatbázis, illetve a benne tárolt adatok egy általam variált RSA algoritmussal vannak védve. A jogosultságok elsősorban menüpontokhoz kapcsolódnak, de a user profilban beállított egyéb területek, engedélyek még ezeken belül is más-más funkciót engedélyeznek, illetve más adatot láthat/szerkeszthet. Egyazon felületen dolgozik az összes fél (lehet akár 3 is) a megrendelő/partner/alkalmazott illetve maga a cég. Elég nagy rendszer lesz, ha elkészül.

A https cert beszerzése/elkészítése folyamatban, mire kész vagyok minden bizonnyal meglesz. A token-en gondolkodtam én is, az adná a maximális biztonságot, bár a jelszó egy min. 9 karakter hosszú, generált, szám/betű/spec karakter keverék, nem módosítható, abszolút egyedi és RSA kódolva van tárolva. A partnerek és azok alkalmazottainak a számához elég komoly mennyiségű token eszközt kellene legyártatni, megvásárolni. Én ennek örülnék, de...

A rendszer, a forrás file-ok kivülről nem elérhetők. A belépni szándékozó még a belépés előtt egy rakat ellenőrzésen esik át. A leg alapabb vizsgálattól (böngésző típus,stb..) kezdve. A forrásfájlokat illetéktelen nemigazán tudja elindítani. Ez a rész nagyjából rendben. Ami miatt a téma indult, az az, hogy ami már a képernyőn van, az hogy védhető, a jelenleg használt módszereimen túl.

Kaptam jó ötleteket, köszönöm. Ettől függetlenül ha van, még jöhet. Ez érdekes téma lehet ha elfogadjuk hogy a www nem csak websiteok, blogok és közösségi oldalak kiszolgálására használható.

Na még egy kínai mondás az I.Ming dinasztia korából:
Az informatika azon problémák megoldására jön létre, mely problémák nélküle nem léteznének!

Ez ismerős téma. Én ugyan nem ERP-t fejlesztek, csak egy hasonló kisebb volumenű projektet, de a struktúra szerintem sokban hasonlít, viszont még mindig nem értem, hogy mi az, amit szeretnél, hogy ne lássanak?

Egy másik, hogy te írod meg a számlázási felületet is? Kemény fába vágod a fejszédet, elég ha csak arra gondolok, hogy az összes ide vonatkozó jogszabályt követni kell.

[Zaphod]

Idézet:

edem eredeti hozzászólása

Ez ismerős téma. Én ugyan nem ERP-t fejlesztek, csak egy hasonló kisebb volumenű projektet, de a struktúra szerintem sokban hasonlít, viszont még mindig nem értem, hogy mi az, amit szeretnél, hogy ne lássanak?

pl. a felhasználó a rá tartozó ügyfelek, partnerek, eredményeket kezelheti.
a felhasználó rosszindulatú és ctrl+a, ctrl+c, ctrl+v és máris megvan kis tisztítás után az adatbázis. Mivel ami a képernyőn van az már nem kódolt. No ezt akarom nehezíteni, mert természetesen leírja, fényképezi, stb... de azért ne legyen már olyan könnyű dolga...

Idézet:

edem eredeti hozzászólása

Egy másik, hogy te írod meg a számlázási felületet is? Kemény fába vágod a fejszédet, elég ha csak arra gondolok, hogy az összes ide vonatkozó jogszabályt követni kell.

Igen. Azt épp most készítem. Már minden jogszabályi feltételt kielégítve.
Sőt, van egy csavar is a számlázásban. Van olyan eset, amikor az én megrendelő cégem állít ki számlát úgy, hogy ő a vevő és a kibocsátó a partner. Ezt is a rendszer automatikusan létrehozza, iktatja, könyveli, stb..

Ez miatt nem gyenge hét áll mögöttem.