Felhasználó azonosítási dilemma
Szép napot!
Van egy oldal, amire IT terén nem valami képzett felhasználók látogatnának. Szeretnék egy tagoknak szóló részt kialakítani rajta úgy, hogy a lehető legkevesebb erőfeszítésbe kerüljön belépni a tagoknak szóló részbe, ahol tájékoztató jellegű információk lennének elérhetőek, szóval semmi olyan, ami különleges védelemre szorul.
Azt szeretném, hogy amikor egy nem tag, hanem valami egyéb felhasználó nézi az oldalt, akkor semmi extra információ ne jelenjen meg arról, hogy van egy tagoknak szóló oldal is. Először subdomain-re gondoltam, de azt elvetettem, mert azt szeretném, ha egy REST service-t használna mindkét jogosultsági kör. Most arra gondoltam, hogy a szokásos felhasználói név és jelszó páros helyett permanent cookie-val menne alapból a bejelentkezés a linkeket, amik ezeket a cookie-kat beállítják pedig email-ben küldené ki az ügyvezető a tagoknak. Mi a véleményetek erről?
Ja és a dilemma, hogy egy ilyen cookie nem lenne jó, ha x napnál tovább működne, mert akkor brute force-al könnyebben lopható lenne az identitás, ezért cserélni kell a cookie-kat, és a linkek is érvényüket vesztenék ugyanilyen okból. Annyira jelen esetben nem számít a biztonság, de érdekelne, hogy szerintetek hogyan lehetne ezt a cookie cserét minél fájdalommentesebben megoldani?
A dilemma másik része, hogy a felhasználói név / jelszó páros az, amivel az ember először megismerkedik, ha netes szolgáltatást használ, szóval lehet, hogy mégiscsak jobb lenne úgy megoldani.
■ Van egy oldal, amire IT terén nem valami képzett felhasználók látogatnának. Szeretnék egy tagoknak szóló részt kialakítani rajta úgy, hogy a lehető legkevesebb erőfeszítésbe kerüljön belépni a tagoknak szóló részbe, ahol tájékoztató jellegű információk lennének elérhetőek, szóval semmi olyan, ami különleges védelemre szorul.
Azt szeretném, hogy amikor egy nem tag, hanem valami egyéb felhasználó nézi az oldalt, akkor semmi extra információ ne jelenjen meg arról, hogy van egy tagoknak szóló oldal is. Először subdomain-re gondoltam, de azt elvetettem, mert azt szeretném, ha egy REST service-t használna mindkét jogosultsági kör. Most arra gondoltam, hogy a szokásos felhasználói név és jelszó páros helyett permanent cookie-val menne alapból a bejelentkezés a linkeket, amik ezeket a cookie-kat beállítják pedig email-ben küldené ki az ügyvezető a tagoknak. Mi a véleményetek erről?
Ja és a dilemma, hogy egy ilyen cookie nem lenne jó, ha x napnál tovább működne, mert akkor brute force-al könnyebben lopható lenne az identitás, ezért cserélni kell a cookie-kat, és a linkek is érvényüket vesztenék ugyanilyen okból. Annyira jelen esetben nem számít a biztonság, de érdekelne, hogy szerintetek hogyan lehetne ezt a cookie cserét minél fájdalommentesebben megoldani?
A dilemma másik része, hogy a felhasználói név / jelszó páros az, amivel az ember először megismerkedik, ha netes szolgáltatást használ, szóval lehet, hogy mégiscsak jobb lenne úgy megoldani.
Szerintem mindenképp maradj a
Hát ki lehet hangsúlyozni,