jom
Wed 13 Feb 2008 14:39:10
Wed 13 Feb 2008 14:39:10
ผมพึ่งเรียนจบแล้วพึ่งมาทำงานเป็นครั้งแรกก็เลยไม่ค่อยรู้เรื่องเท่าไหร่ ได้เล่นเครื่อง server เป็นครั้งแรกด้วยครับ แล้วก็ เวลารันที่ เครื่องเราที่ใช้พัฒนาโปรแกรมกับ server ค้อนข้างมีปัญหา
มีการใช้ check box ด้วยว่าให้จำ User or Pass นะครับ
php + mysql ครับ
webmaster
Thu 14 Feb 2008 02:06:00
Thu 14 Feb 2008 02:06:00
การ authorize user นั้นมีหลากรูปแบบครับ แล้วแต่ policy ของผู้เขียนครับ ซึ่ง policy ก็อยู่ที่ความต้องการของผู้ออกแบบด้วยครับ ระบบก็จะมีเพียงการ identify ตัวบุคคลให้ได้เท่านั้นว่าใครเป็นใคร ดังนั้นก็จะมีการส่งค่าบางอย่างไปยัง client เพื่อระบุว่าใครเป็นใคร ที่นิยมมากก็คือการใช้ SESSION กับ COOKIE ไม่ว่าจะเว็บไซท์ที่ปลอดภัยระดับไหนก็จะเห็นเพียง 2 วิธีนี้เท่านั้น
ส่วนการจะให้ client จำค่าได้หลังจากปิดเครื่องนั้นก็มีเพียง cookie เท่านั้นครับ จะให้จำค่าอะไรก็ใส่เข้าไป พอต้องการดูก็เรียกออกมาดูเท่านั้น
การจะทำให้มันเป็นขั้นสูงระดับไหน ต้องดูตามความต้องการครับ ระดับความสูงของแต่ละคนมองจะไม่เท่ากันครับ เช่น application เล็กๆทั่วไปก็จับทุกอย่างไว้ใน table เดียว authorize แล้วก็เอาค่าออกมาจบ โค๊ดก็เขียนง่ายๆไม่มีอะไรมาก แต่ถ้า application ที่ต้องการความปลอดภัยสูงๆ พวกเกี่ยวกับการเงินทั้งหลาย อาจะสร้าง webservices ขึ้นมาเพื่อไม่ให้เกิดการเข้าถึงข้อมูลโดยตรง มีการตั้งให้ session expired ในเวลาที่กำหนด มีการ hash ข้อมูลการ login เพื่อตรวจสอบอีกครั้ง
ในบางครั้ง เก็บแค่ username / password และข้อมูลที่ต้องการ เท่านั้นก็เพียงพอครับเพียงแต่เขียนโค๊ดในรูปแบบที่ปลอดภัย และอยู่ในสภาพแวดล้อมที่ปลอดภัยก็พอแล้วครับ เพราะโดยปกติแล้ว security มักจะสวนทางกับ performance เสมอ ดังนั้นยิ่งต้องการ security มากๆคุณก็ต้องหาทรัพยากรที่ให้ performance ได้มากๆครับ
ส่วนการจะให้ client จำค่าได้หลังจากปิดเครื่องนั้นก็มีเพียง cookie เท่านั้นครับ จะให้จำค่าอะไรก็ใส่เข้าไป พอต้องการดูก็เรียกออกมาดูเท่านั้น
การจะทำให้มันเป็นขั้นสูงระดับไหน ต้องดูตามความต้องการครับ ระดับความสูงของแต่ละคนมองจะไม่เท่ากันครับ เช่น application เล็กๆทั่วไปก็จับทุกอย่างไว้ใน table เดียว authorize แล้วก็เอาค่าออกมาจบ โค๊ดก็เขียนง่ายๆไม่มีอะไรมาก แต่ถ้า application ที่ต้องการความปลอดภัยสูงๆ พวกเกี่ยวกับการเงินทั้งหลาย อาจะสร้าง webservices ขึ้นมาเพื่อไม่ให้เกิดการเข้าถึงข้อมูลโดยตรง มีการตั้งให้ session expired ในเวลาที่กำหนด มีการ hash ข้อมูลการ login เพื่อตรวจสอบอีกครั้ง
ในบางครั้ง เก็บแค่ username / password และข้อมูลที่ต้องการ เท่านั้นก็เพียงพอครับเพียงแต่เขียนโค๊ดในรูปแบบที่ปลอดภัย และอยู่ในสภาพแวดล้อมที่ปลอดภัยก็พอแล้วครับ เพราะโดยปกติแล้ว security มักจะสวนทางกับ performance เสมอ ดังนั้นยิ่งต้องการ security มากๆคุณก็ต้องหาทรัพยากรที่ให้ performance ได้มากๆครับ
jom
Thu 14 Feb 2008 10:24:36
Thu 14 Feb 2008 10:24:36
ขอบคุณมาก ๆๆๆสำหรับคำแนะนำครับ
