Bezpieczeństwo opencaching

Wszystko co może pomóc w rozwoju serwisu opencaching.pl, sugestie, pomysły, także zauważone błędy

Moderator: Moderatorzy

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32

Bezpieczeństwo opencaching

Post autor: pysiek » sobota 01 czerwca 2013, 17:11

Zacząłem trochę kombinować z OKAPI i dopiero teraz do mnie dotarło, że serwer opencaching nie używa podstawowego zabezpieczenia w postaci szyfrowania za pomocą SSL (https), chociażby na ekranie logowania.
Jeszcze większe oczy zrobiłem, gdy sprawdziłem, że to nie tylko problem Polski, ale także .de i .us to "olewają". :shock:
Może jednak źle popatrzałem, albo nie znam się na tej technologii, ale wydaje mi się, że warto włączyć obsługę tego protokołu.
Zwłaszcza, że to nic nie "kosztuje". Wystarczy zainstalować darmowy ceryfikat, wygenerowany przez np. http://www.startssl.com/ Jest on akceptowany przez wszystkie przeglądarki.
Obecnie jest "wrzucony" testowy certyfikat, który odrzucany jest przez przeglądarki.

OKAPI to wspaniała idea i nieźle działa. Niestety na opencaching.pl nie działa zupełnie w trybie https. Stawia to pod dużym znakiem zapytania pisanie jakichkolwiek aplikacji, które będą dokonywały wpisów "w imieniu" użytkownika.

Pozdro,
Pysiek

Awatar użytkownika
picek
Wyjadacz
Posty: 474
Rejestracja: środa 06 maja 2009, 11:36
Lokalizacja: między lasem a centrum miasta
Kontakt:

Re: Bezpieczeństwo opencaching

Post autor: picek » wtorek 04 czerwca 2013, 16:17

Z jednej strony brak szyfrowania nie jest fajny, ale z drugiej - jak bardzo "krytyczne" dane są tu przechowywane? Ot, czyste statystyki powiązane z jakąś parą login/hasło - czasem też "współrzędnymi domowymi", które niekoniecznie dom wskazują :)
Z jednej strony - szyfrowanie można włączać, z drugiej - czy to krytyczne? Nie wiem :)
Osiedle w mieście Łańcut - Łańcut - osiedle Sikorskiego

Awatar użytkownika
Krysiul
Forumator
Posty: 1055
Rejestracja: środa 09 czerwca 2010, 21:35

Re: Bezpieczeństwo opencaching

Post autor: Krysiul » wtorek 04 czerwca 2013, 17:33

Ta para hasło + mail może być ważna, zwłaszcza, że założę się, że wielu keszerów używa takiego samego lub podobnego hasła tutaj i w innych serwisach, a jeśli używają go też do podanego maila, to game over. Też bym się ucieszył z szyfrowania, ale widzę, że programiści i tak ciężko pracują, żebyśmy mieli na czym się bawić, i sądzę, że gdyby mieli czas, to już by o tym pomyśleli.
ObrazekObrazekObrazek

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32

Re: Bezpieczeństwo opencaching

Post autor: pysiek » czwartek 06 czerwca 2013, 09:13

chetnie pomoge, chociazby w postaci instrukcji, choc w necie jest pelno informacji na ten temat.
Samo uzyskanie ceryfikatu oraz jego instalacja to czas ponizej godziny.

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1619
Rejestracja: poniedziałek 19 października 2009, 10:01
Lokalizacja: blisko Krakowa.
Kontakt:

Re: Bezpieczeństwo opencaching

Post autor: Lza » poniedziałek 10 czerwca 2013, 10:12

można temat przemyśleć,
tu możesz się zmierzyć na sucho z zadaniem: https://code.google.com/p/opencaching-pl/ (na VM-ce)
ciekawe czy dasz radę w godzinę :-)

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32

Re: Bezpieczeństwo opencaching

Post autor: pysiek » poniedziałek 10 czerwca 2013, 10:51

Proszę zauważyć, że piszę tu o prostej operacji instalacji ceryfikatu w systemie.
Do tego nie trzeba nic zmieniać w kodzie, tylko parę zmian w konfiguracji systemu.
Niestety do tego trzeba mieć dostęp do systemu, a nie do repozytorium kodu :wink:
Potem, można przemyśleć jak np. wymuszać stosowanie protokołu https na czas logowania.
Osobiście najbardziej mi zależy, aby OKAPI ruszyło na protokole https. Chyba zostało to przegapione na etapie instalacji... :?

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1619
Rejestracja: poniedziałek 19 października 2009, 10:01
Lokalizacja: blisko Krakowa.
Kontakt:

Re: Bezpieczeństwo opencaching

Post autor: Lza » poniedziałek 10 czerwca 2013, 11:04

na VMce można ćiwczyć, jak tam się uda uruchomić, to wtedy można póbować na produkcji. Wydaje mi się, że to bardziej kompleksowy task niż tylko instalacja certyfikatu, dlatego zachęcam do przetestowania.

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32

Re: Bezpieczeństwo opencaching

Post autor: pysiek » poniedziałek 10 czerwca 2013, 11:51

ściągnę sobie serwer i popatrzę, choć wydaje mi się to niepotrzebne.
Marzyłem jednak już wcześniej, aby przyjrzeć się kodowi OC. :)
Jeżeli jednak mógłbym naprawdę pomóc, to z kim należałoby rozmawiać w sprawie uzyskania certyfikatu dla OC?
Potrzebny jest dostęp do odbierania poczty dla konta root lub hostmaster lub webmaster.

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1619
Rejestracja: poniedziałek 19 października 2009, 10:01
Lokalizacja: blisko Krakowa.
Kontakt:

Re: Bezpieczeństwo opencaching

Post autor: Lza » poniedziałek 10 czerwca 2013, 11:57

rt[maupka]opencaching.pl

Awatar użytkownika
Silent A
Rada Techniczna
Posty: 467
Rejestracja: poniedziałek 07 listopada 2011, 09:19

Re: Bezpieczeństwo opencaching

Post autor: Silent A » poniedziałek 10 czerwca 2013, 16:34

Na serwerze działa https ale obecnie jest wykorzystywany wyłącznie do narzędzi administracyjnych.
Obrazek

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32

Re: Bezpieczeństwo opencaching

Post autor: pysiek » poniedziałek 10 czerwca 2013, 17:38

Czyli wiedza jest. :)
To już naprawdę nie wiem, w czym mogę pomóc.
Wystarczy wygenerować i podmienić darmowy certyfikat, aby podnieść bezpieczeństwo systemu.
Trzymam kciuki !

ODPOWIEDZ