Bezpieczeństwo opencaching

Wszystko co może pomóc w rozwoju serwisu opencaching.pl, sugestie, pomysły, także zauważone błędy

Moderator: Moderatorzy

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32
Podziękował;: 0
Otrzymał podziękowań: 0

Bezpieczeństwo opencaching

Post autor: pysiek »

Zacząłem trochę kombinować z OKAPI i dopiero teraz do mnie dotarło, że serwer opencaching nie używa podstawowego zabezpieczenia w postaci szyfrowania za pomocą SSL (https), chociażby na ekranie logowania.
Jeszcze większe oczy zrobiłem, gdy sprawdziłem, że to nie tylko problem Polski, ale także .de i .us to "olewają". :shock:
Może jednak źle popatrzałem, albo nie znam się na tej technologii, ale wydaje mi się, że warto włączyć obsługę tego protokołu.
Zwłaszcza, że to nic nie "kosztuje". Wystarczy zainstalować darmowy ceryfikat, wygenerowany przez np. http://www.startssl.com/ Jest on akceptowany przez wszystkie przeglądarki.
Obecnie jest "wrzucony" testowy certyfikat, który odrzucany jest przez przeglądarki.

OKAPI to wspaniała idea i nieźle działa. Niestety na opencaching.pl nie działa zupełnie w trybie https. Stawia to pod dużym znakiem zapytania pisanie jakichkolwiek aplikacji, które będą dokonywały wpisów "w imieniu" użytkownika.

Pozdro,
Pysiek

Awatar użytkownika
picek
Wyjadacz
Posty: 474
Rejestracja: środa 06 maja 2009, 11:36
Podziękował;: 10 razy
Otrzymał podziękowań: 8 razy
Kontakt:

Re: Bezpieczeństwo opencaching

Post autor: picek »

Z jednej strony brak szyfrowania nie jest fajny, ale z drugiej - jak bardzo "krytyczne" dane są tu przechowywane? Ot, czyste statystyki powiązane z jakąś parą login/hasło - czasem też "współrzędnymi domowymi", które niekoniecznie dom wskazują :)
Z jednej strony - szyfrowanie można włączać, z drugiej - czy to krytyczne? Nie wiem :)
Osiedle w mieście Łańcut - Łańcut - osiedle Sikorskiego

Awatar użytkownika
Krysiul
Forumator
Posty: 1055
Rejestracja: środa 09 czerwca 2010, 21:35
Podziękował;: 26 razy
Otrzymał podziękowań: 78 razy

Re: Bezpieczeństwo opencaching

Post autor: Krysiul »

Ta para hasło + mail może być ważna, zwłaszcza, że założę się, że wielu keszerów używa takiego samego lub podobnego hasła tutaj i w innych serwisach, a jeśli używają go też do podanego maila, to game over. Też bym się ucieszył z szyfrowania, ale widzę, że programiści i tak ciężko pracują, żebyśmy mieli na czym się bawić, i sądzę, że gdyby mieli czas, to już by o tym pomyśleli.
ObrazekObrazekObrazek

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32
Podziękował;: 0
Otrzymał podziękowań: 0

Re: Bezpieczeństwo opencaching

Post autor: pysiek »

chetnie pomoge, chociazby w postaci instrukcji, choc w necie jest pelno informacji na ten temat.
Samo uzyskanie ceryfikatu oraz jego instalacja to czas ponizej godziny.

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1621
Rejestracja: poniedziałek 19 października 2009, 10:01
Podziękował;: 83 razy
Otrzymał podziękowań: 307 razy

Re: Bezpieczeństwo opencaching

Post autor: Lza »

można temat przemyśleć,
tu możesz się zmierzyć na sucho z zadaniem: https://code.google.com/p/opencaching-pl/ (na VM-ce)
ciekawe czy dasz radę w godzinę :-)

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32
Podziękował;: 0
Otrzymał podziękowań: 0

Re: Bezpieczeństwo opencaching

Post autor: pysiek »

Proszę zauważyć, że piszę tu o prostej operacji instalacji ceryfikatu w systemie.
Do tego nie trzeba nic zmieniać w kodzie, tylko parę zmian w konfiguracji systemu.
Niestety do tego trzeba mieć dostęp do systemu, a nie do repozytorium kodu :wink:
Potem, można przemyśleć jak np. wymuszać stosowanie protokołu https na czas logowania.
Osobiście najbardziej mi zależy, aby OKAPI ruszyło na protokole https. Chyba zostało to przegapione na etapie instalacji... :?

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1621
Rejestracja: poniedziałek 19 października 2009, 10:01
Podziękował;: 83 razy
Otrzymał podziękowań: 307 razy

Re: Bezpieczeństwo opencaching

Post autor: Lza »

na VMce można ćiwczyć, jak tam się uda uruchomić, to wtedy można póbować na produkcji. Wydaje mi się, że to bardziej kompleksowy task niż tylko instalacja certyfikatu, dlatego zachęcam do przetestowania.

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32
Podziękował;: 0
Otrzymał podziękowań: 0

Re: Bezpieczeństwo opencaching

Post autor: pysiek »

ściągnę sobie serwer i popatrzę, choć wydaje mi się to niepotrzebne.
Marzyłem jednak już wcześniej, aby przyjrzeć się kodowi OC. :)
Jeżeli jednak mógłbym naprawdę pomóc, to z kim należałoby rozmawiać w sprawie uzyskania certyfikatu dla OC?
Potrzebny jest dostęp do odbierania poczty dla konta root lub hostmaster lub webmaster.

Awatar użytkownika
Lza
Rada Techniczna
Posty: 1621
Rejestracja: poniedziałek 19 października 2009, 10:01
Podziękował;: 83 razy
Otrzymał podziękowań: 307 razy

Re: Bezpieczeństwo opencaching

Post autor: Lza »

rt[maupka]opencaching.pl

Awatar użytkownika
Silent A
Wyjadacz
Posty: 467
Rejestracja: poniedziałek 07 listopada 2011, 09:19
Podziękował;: 16 razy
Otrzymał podziękowań: 98 razy

Re: Bezpieczeństwo opencaching

Post autor: Silent A »

Na serwerze działa https ale obecnie jest wykorzystywany wyłącznie do narzędzi administracyjnych.
Obrazek

pysiek
Nowy na forum
Posty: 16
Rejestracja: piątek 03 lutego 2012, 09:32
Podziękował;: 0
Otrzymał podziękowań: 0

Re: Bezpieczeństwo opencaching

Post autor: pysiek »

Czyli wiedza jest. :)
To już naprawdę nie wiem, w czym mogę pomóc.
Wystarczy wygenerować i podmienić darmowy certyfikat, aby podnieść bezpieczeństwo systemu.
Trzymam kciuki !

ODPOWIEDZ