Strona 1 z 1

Bezpieczeństwo opencaching

: sobota 01 czerwca 2013, 17:11
autor: pysiek
Zacząłem trochę kombinować z OKAPI i dopiero teraz do mnie dotarło, że serwer opencaching nie używa podstawowego zabezpieczenia w postaci szyfrowania za pomocą SSL (https), chociażby na ekranie logowania.
Jeszcze większe oczy zrobiłem, gdy sprawdziłem, że to nie tylko problem Polski, ale także .de i .us to "olewają". :shock:
Może jednak źle popatrzałem, albo nie znam się na tej technologii, ale wydaje mi się, że warto włączyć obsługę tego protokołu.
Zwłaszcza, że to nic nie "kosztuje". Wystarczy zainstalować darmowy ceryfikat, wygenerowany przez np. http://www.startssl.com/ Jest on akceptowany przez wszystkie przeglądarki.
Obecnie jest "wrzucony" testowy certyfikat, który odrzucany jest przez przeglądarki.

OKAPI to wspaniała idea i nieźle działa. Niestety na opencaching.pl nie działa zupełnie w trybie https. Stawia to pod dużym znakiem zapytania pisanie jakichkolwiek aplikacji, które będą dokonywały wpisów "w imieniu" użytkownika.

Pozdro,
Pysiek

Re: Bezpieczeństwo opencaching

: wtorek 04 czerwca 2013, 16:17
autor: picek
Z jednej strony brak szyfrowania nie jest fajny, ale z drugiej - jak bardzo "krytyczne" dane są tu przechowywane? Ot, czyste statystyki powiązane z jakąś parą login/hasło - czasem też "współrzędnymi domowymi", które niekoniecznie dom wskazują :)
Z jednej strony - szyfrowanie można włączać, z drugiej - czy to krytyczne? Nie wiem :)

Re: Bezpieczeństwo opencaching

: wtorek 04 czerwca 2013, 17:33
autor: Krysiul
Ta para hasło + mail może być ważna, zwłaszcza, że założę się, że wielu keszerów używa takiego samego lub podobnego hasła tutaj i w innych serwisach, a jeśli używają go też do podanego maila, to game over. Też bym się ucieszył z szyfrowania, ale widzę, że programiści i tak ciężko pracują, żebyśmy mieli na czym się bawić, i sądzę, że gdyby mieli czas, to już by o tym pomyśleli.

Re: Bezpieczeństwo opencaching

: czwartek 06 czerwca 2013, 09:13
autor: pysiek
chetnie pomoge, chociazby w postaci instrukcji, choc w necie jest pelno informacji na ten temat.
Samo uzyskanie ceryfikatu oraz jego instalacja to czas ponizej godziny.

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 10:12
autor: Lza
można temat przemyśleć,
tu możesz się zmierzyć na sucho z zadaniem: https://code.google.com/p/opencaching-pl/ (na VM-ce)
ciekawe czy dasz radę w godzinę :-)

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 10:51
autor: pysiek
Proszę zauważyć, że piszę tu o prostej operacji instalacji ceryfikatu w systemie.
Do tego nie trzeba nic zmieniać w kodzie, tylko parę zmian w konfiguracji systemu.
Niestety do tego trzeba mieć dostęp do systemu, a nie do repozytorium kodu :wink:
Potem, można przemyśleć jak np. wymuszać stosowanie protokołu https na czas logowania.
Osobiście najbardziej mi zależy, aby OKAPI ruszyło na protokole https. Chyba zostało to przegapione na etapie instalacji... :?

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 11:04
autor: Lza
na VMce można ćiwczyć, jak tam się uda uruchomić, to wtedy można póbować na produkcji. Wydaje mi się, że to bardziej kompleksowy task niż tylko instalacja certyfikatu, dlatego zachęcam do przetestowania.

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 11:51
autor: pysiek
ściągnę sobie serwer i popatrzę, choć wydaje mi się to niepotrzebne.
Marzyłem jednak już wcześniej, aby przyjrzeć się kodowi OC. :)
Jeżeli jednak mógłbym naprawdę pomóc, to z kim należałoby rozmawiać w sprawie uzyskania certyfikatu dla OC?
Potrzebny jest dostęp do odbierania poczty dla konta root lub hostmaster lub webmaster.

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 11:57
autor: Lza
rt[maupka]opencaching.pl

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 16:34
autor: Silent A
Na serwerze działa https ale obecnie jest wykorzystywany wyłącznie do narzędzi administracyjnych.

Re: Bezpieczeństwo opencaching

: poniedziałek 10 czerwca 2013, 17:38
autor: pysiek
Czyli wiedza jest. :)
To już naprawdę nie wiem, w czym mogę pomóc.
Wystarczy wygenerować i podmienić darmowy certyfikat, aby podnieść bezpieczeństwo systemu.
Trzymam kciuki !