Hol hajtódnak végre a következő tevékenységek egy webalkalmazásban?
válasza: válasza:4 Kérdező: Mindent kell az alkalmazás oldalon ellenőrizni. Hiába ellenőrzöd már a kliens oldalon (az max. a felhasználónak segítség), mert mi van egy man in the middle támadás esetén? Tehát hiába ellenőrzöd az adatot a klinesben, az alkalmazásnak még 1x ellenőriznie kell. (Egy csomó sebezhetőséget ennek a hiánya okoz, okozott). Már nem emlékszem melyik híres eset volt, amikor az ember egy password mezőbe beírt egy jól írányzott SQL kifejezést, és máris visszaköpte a hibaüzenetben, hogy milyen táblák vannak az adatbázisban. Innen kezdve csak egy lépés volt a megfelelően kiadott select * from <tablanév> ugyanabba a password mezőbe.
Szintén funkcionálisan: a webszerver általában külső alkalmazás, nem igazán van a kezünkben, sokat nem várhatunk tőle, örülünk ha megkapjuk az adatot. Hogy az alkalmazás és az adatbázis szerver között mi lesz a "munkamegosztás", hogy melyik feladatot oldjuk meg az alkalmazásban, melyiket az adatbázisban, az attól függ, hogy milyen adatbázis szerverünk van (pl. milyen tárolt eljárásokat, triggereket stb. tud/nem tud, mennyi erőforrás van alatta, mekkor az adatbázis mérete, milyen logok kellenek stb.).
A jelszó titkosítását meg nem is értem. Az adatbázisban nem tárolunk clean text jelszót. Azt megbeszéltük, hogy a kliens oldalon nincs jogosultság kezelés (és jelszó ellenőrzés sem, mert ez is ide tartozik) akkor kb. triviális, hogy hol van az egetlen hely ahol ezt el lehet végezni. Az, hogy a kliens és az alkalmazás között hogy utazik a jelszó protokoll függő (ld. htpps).
válasza:Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!