Pāriet pie satura
cutty.dev
All posts

Saistījumu drošība ar paroli — kas notiek, kad jūs klikšķināt

Tu vari pievienot paroli savam ītajam saitei. Mēs parādām, kas notiek aiz kulisses — bez sarežģītas terminoloģijas — un kāpēc tas vispār ir vērts.

Īss saite ar paroli izklausās vienkārši. Tu ievadi paroles, un kāds cits tavam parolam ir jāievada, lai redzētu, kur šī saite ved. Zemāk notiek nedaudz vairāk. Mēs parādām ko, kāpēc un kad tas ir noderīgi.

Kāpēc vispār aizsargāt saiti ar paroli

Trīs konteksti, kuros tas ir jēglish:

Saturs, kuru vēlies parādīt tikai noteiktām personām. Cenu liste premium klientiem, beta dokuments pirms publiskas paziņošanas, mācību materiāls personām, kas ir apmaksājušas kursu. Bez paroles kāds varētu atrast šo saiti meklētājprogrammā vai saņemt to no trešajām personām.

Saturs par īsu mūža ilgumu, kuru vēlies noslēgt. Speciālā piedāvājuma piektdienai, materiāls no konferences, kas būs pieejams tikai dalībniekiem. Parole rada kontrolētu piekļuvi caur saiti — tu esi pārliecināts, ka apmeklētājs ir saņēmis kodu no tevis, nevis no trešajām personām.

Saturs, kuru publicēte publiski, bet vēlaties kontroli. Tava pilna cenu saraksts, tavs iekšējais produktu process, tava piedāvājums klientam. Saiti var nosūtīt — bet bez paroles neviens neieiet.

Kas notiek, kad iestatīji parole

Jūs ievadiet paroli saites izveides veidnes. Parole tiek nekavējoties šifrēta — pārvērsta par simbolu virkni, kuru nevar izlasīt. Pats facts, ka parole ir "tajne123", pazūd brīdī, kad noklikšķināt "Saglabāt". Pat es, kā servisa vadītājs, nevaru to izlasīt.

Kas ir ierakstīts datubāzē: nevis parole, bet pirksta nospiedums (tehniski "hash") — virkne, kas atbilst tavai parolei tikai tad, ja kāds ievadīs tieši to pašu. Ja kāds uzlauzīsies mūsu datubāzē, viņš saņems tikai šīs virknes — nevis paroles piekļuvi tavām saitēm.

Mēs to veidojam, izmantojot nozares standartu, ko lieto lielākā daļa tīkla autorizācijas sistēmu. Tas ir trosgan lēns aprēķināšanai — lai hakeram, kurš nozagtų datubasi, būtu jāgaida miljoniem gadu, lai uzminētu paroles.

Kas notiek, kad kāds noklikšķina uz jūsu saites

  1. Apmeklētājs redz atbloķēšanas ekrānu, nevis tiešu pāredirectēšanu. Īss informācijas teksts "šī saite ir aizsargāta ar paroli" un lauks ievadīšanai.
  2. Ievada paroli un klikšķina "Atbloķēt". Parole serverī tiek pārbaudīta pret saglabāto hashu.
  3. Ja tas sakrīt — apmeklētājs saņem sesijas tokeni, kas ir derīgs 24 stundas. Nākamās 24 stundas var atgriezties šajā saitē bez paroles ievadīšanas. Nav jāatceras.
  4. Ja tas nesakrīt — kļūdas ziņojums. Pēc pieciem mēģinājumiem no tās pašas IP adreses — bloķēšana uz piecinām minūtēm. Boti nevarēs iekļūt ar spēku.

Ko mēs NEdarām

  • Mēs neievada paroles tekstā. Nekad. Pat ne debugēšanas logos.
  • Mēs nesūtām paroles e-pastā. Pat ja apmeklētājs to aizmirst, mēs nevaram viņam atgādināt — jo arī mēs to nezinām. Jums ir jānosūta parole vēlreiz no tā konta, no kura viņš to saņēma.
  • Mēs nesūtām paroles trešajām personām. Nekāds ārējais analītikas, mārketinga vai AI pakalpojumu sniedzējs — nav piekļuves šiem datiem.

Praktiski padomi

Izveido paroles, kas nav acīmredzamas. Uzņēmuma nosaukums + dibināšanas gada ideja ir vāja. Paroleņu ģenerators pārlūkprogrammā to dara labāk.

Nesūti paroli to pašu kanālu, pa kuru sūtīji saiti. Ja sūti saiti e-pastā, paroli nosūti SMS. Vai otrādi. Tad uzbiedējums vienā komunikācijas kanalā nedos pilnu piekļuvi.

Jūs varat tener vairākas saites ar to pašu mērķa URL, bet ar dažādām paroles. Tas ir noderīgi, ja sniedzat piekļuvi dažādām personām — jūs varat bloķēt vienu saiti, kad šī piekļuve ir jābeidz, neietekmējot citus.

Paroli var mainīt, neizveidojot jaunu saiti. Panelī, "Edytuj" → ievadiet jaunu paroli. Visi aktīvie 24 stundu sesijas beigsies nekavējoties, katram apmeklətājam būs jāievada jaunais parole.

Kad parole NAV pietiekami

Parole pasargā no publiskas indeksēšanas un nejauša piekļuves. Tā nepasargā no personas, kas zina paroli un vēlas to kopīgot. Ja jūsu scenārijs prasa "tikai šis viens konkrētais cilvēks var to redzēt" — jums papildus ir nepieciešama pierakstīšanās, lietotāju konti, autorizācija. Tas ir augstāka funkcionalitātes līmenis (plānots nākamajā Pro plānā).

95% gadījumu "es neceit, lai to redzētu nejauša cilvēka" — šī frāze ir pietiekama.

Izmēģini pats — izveidojot saiti, atzīmē "Papildu opcijas" → "Pievienot paroli".