В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Go-go!

3222 membersпожаловаться на группу
2019 December 25

AS

Andrey S in Go-go!
Igor
Ребят, а можете подсказать, какой самый безопасный способ для аутентификации? JWT? Sessions + HttpOnly? JWT+ HTTP/2? HTTP/2 + Sessions + HttpOnly?
Странный вопрос...
источник
22:25пожаловаться#1

I

Igor in Go-go!
Почему?
источник
22:25пожаловаться#2

AS

Andrey S in Go-go!
Как понять - самый безопасный?
источник
22:26пожаловаться#3

I

Igor in Go-go!
устойчивый к XSS, CSRF, Injections и другим типам атак
источник
22:27пожаловаться#4

AS

Andrey S in Go-go!
Самый безопасный - сверять сетчатку глаза, но стоит ли он информации которую защищает?
источник
22:27пожаловаться#5

I

Igor in Go-go!
Andrey S
Самый безопасный - сверять сетчатку глаза, но стоит ли он информации которую защищает?
ну если информацией считать данные пользователей, то это самый опасный получается, так как теряется анонимность. Нужен некий баланс между анонимностью и авторизуемостью: чтобы ровно один пользователь мог войти, но чтобы нельзя было сопоставить виртуальному пользователю реального человека.
источник
22:30пожаловаться#6

I

Igor in Go-go!
ладно. с "ровно один" я может погорячился, но имелось ввиду, что могут войти лишь те, кто обладает каким-то тайным знанием. например паролем.
источник
22:32пожаловаться#7

N

Nikolai in Go-go!
Т.е. вам нужна аутентификация , а не авторизация
источник
22:33пожаловаться#8

I

Igor in Go-go!
ну одно без другого несколько бессмысленно
источник
22:33пожаловаться#9

I

Igor in Go-go!
Надо как-то сохранять состояние, что именно этот пользователь вошел в систему и там и остается
источник
22:34пожаловаться#10

I

Igor in Go-go!
и что эти данные левым лицам не передаются
источник
22:34пожаловаться#11

S

Sergey in Go-go!
Igor
Надо как-то сохранять состояние, что именно этот пользователь вошел в систему и там и остается
авторизация не про это. авторизация - это про "пользователь такой-то имеет право на выполнение такого-то действия". А вот "этот запрос пришёл от пользователя id456, зуб даю" - это аутентификация. А как она реализована - через логин и пароль, через куку или токен - это уже отдельный разговор
источник
22:36пожаловаться#12

I

Igor in Go-go!
вот я как раз про этот разговор
источник
22:37пожаловаться#13

I

Igor in Go-go!
Так я про аутентификацию изначально и спрашивал, не?
источник
22:37пожаловаться#14

I

Igor in Go-go!
Ребят, а можете подсказать, какой самый безопасный способ для аутентификации? JWT? Sessions + HttpOnly? JWT+ HTTP/2? HTTP/2 + Sessions + HttpOnly?
источник
22:37пожаловаться#15

S

Sergey in Go-go!
JWT с асинхронной подписью и двумя токенами - access и refresh
источник
22:38пожаловаться#16

S

Sergey in Go-go!
ну и шифрованному каналу весь обмен, да
источник
22:38пожаловаться#17

S

Sergey in Go-go!
s/асинхронная подпись/асимметричный алгоритм для подписи/
источник
22:39пожаловаться#18

ВС

Владимир Столяров in Go-go!
Sergey
JWT с асинхронной подписью и двумя токенами - access и refresh
Главное жёстко задавать разрешённые алгоритмы. А то есть пара интересных классов атак: замена алгоритма на none и замена ассиметричного алгоритма на симметричный
источник
22:40пожаловаться#19

I

Igor in Go-go!
Sergey
JWT с асинхронной подписью и двумя токенами - access и refresh
А как сделать асимметричную подпись в случае вебсайта? ну будет у сайта свой приватный ключ, но он же виден всем, кто грузит этот фронтэнд. Так что никакая это не асимметричная подпись
источник
22:41пожаловаться#20