Покинул форум
Сообщений всего: 114
Дата рег-ции: Янв. 2009 Откуда: kazan
Помог: 0 раз(а)
имеется некая форма вопросов. результаты выводятся, только зарегистрированным пользователям. как можно защитить форму, чтобы пользователи не могли передавать пароли другим пользователям и пользоваться результатами теста?
Мелкий
Отправлено: 29 Января, 2013 - 08:28:41
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Никак.
Вы не определите, это тот же самый пользователь или кто-то другой зашёл с его паролем.
----- PostgreSQL DBA
nilbug
Отправлено: 29 Января, 2013 - 08:42:58
Гость
Покинул форум
Сообщений всего: 114
Дата рег-ции: Янв. 2009 Откуда: kazan
Помог: 0 раз(а)
Мелкий пишет:
Никак.
Вы не определите, это тот же самый пользователь или кто-то другой зашёл с его паролем.
может быть, стоит при выдаче результата отправлять некий проверочный код на e-mail или телефон. без него результата не будет.
Мелкий
Отправлено: 29 Января, 2013 - 09:01:46
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Может быть стоит. Добавится головная боль с вопросом смены почты или телефона. Ну и счёт за смски.
Но что помешает человеку сделать копию результата и опубликовать уже её вместо пароля?
----- PostgreSQL DBA
nilbug
Отправлено: 29 Января, 2013 - 09:11:01
Гость
Покинул форум
Сообщений всего: 114
Дата рег-ции: Янв. 2009 Откуда: kazan
Помог: 0 раз(а)
Мелкий пишет:
Может быть стоит. Добавится головная боль с вопросом смены почты или телефона. Ну и счёт за смски.
Но что помешает человеку сделать копию результата и опубликовать уже её вместо пароля?
результат будет высылаться на почту, адрес берется из базы. сменил почту, поменялась и в базе. а результат теста не волнует как бы никого. там около 200 вопросов. в результате ответов будет тот или иной результат. думаете, кто-то захочет в 200 вопросном тесте пробовать все различные комбинации? думаю вряд ли.
Мелкий
Отправлено: 29 Января, 2013 - 09:30:59
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
nilbug пишет:
а результат теста не волнует как бы никого
nilbug пишет:
пользователи не могли передавать пароли другим пользователям и пользоваться результатами теста?
Вы себе противоречите
Я думаю только одно - если это кому-нибудь надо будет, это будет сделано. Берётся фрилансер (1шт.) и ваш тест - спустя какое-то время перебираются все варианты. Что с верификацией по email, что по sms - вопрос только цены и, следовательно, целесообразности.
----- PostgreSQL DBA
EuGen
Отправлено: 29 Января, 2013 - 09:37:26
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Мелкий пишет:
Я думаю только одно - если это кому-нибудь надо будет, это будет сделано. Берётся фрилансер (1шт.) и ваш тест - спустя какое-то время перебираются все варианты. Что с верификацией по email, что по sms - вопрос только цены и, следовательно, целесообразности.
На самом деле, перебор всех вариантов ответа в тесте из 200 вопросов - даже если в каждом из них допустим лишь ответ "Да/Нет" (2 варианта) является числом 61-го порядка. Если же ответов будет 3 ("Да/Нет/Не знаю"), то это уже число 96-го порядка, что больше, чем число молекул в известной части Вселенной.
Суть дела здесь, как я понял, не в переборе вариантов, а в защите результата. И вот его защитить не получится - хотя бы потому, что если информация ценная, её всегда можно сохранить (начиная от "Сохранить как" в окне браузера и заканчивая фотографированием монитора с готовым результатом).
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
nilbug
Отправлено: 29 Января, 2013 - 09:49:24
Гость
Покинул форум
Сообщений всего: 114
Дата рег-ции: Янв. 2009 Откуда: kazan
Помог: 0 раз(а)
EuGen пишет:
Суть дела здесь, как я понял, не в переборе вариантов, а в защите результата. И вот его защитить не получится - хотя бы потому, что если информация ценная, её всегда можно сохранить (начиная от "Сохранить как" в окне браузера и заканчивая фотографированием монитора с готовым результатом).
да суть дела в защите результата. человек покупает доступ к тесту, однако он может кому угодно передать пароль, и по сути тест будет проходить все кому не лень.
Мелкий
Отправлено: 29 Января, 2013 - 09:49:29
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Хм, и правда, не туда думаю. Ну, значит, делается второй сайт, скрывающий за собой верификацию пользователя у вас и дальше типичная гонка вооружений.
----- PostgreSQL DBA
EuGen
Отправлено: 29 Января, 2013 - 09:51:45
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Ни по телефону, ни по e-mail нельзя установить идентичность пользователя. Вероятно, можно придумать одноразовые пароли с конечным сроком действия - однако это может вызвать неудобство у пользователя, который потерял соединение с Internet во время прохождения теста и т.п.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
MaikL
Отправлено: 29 Января, 2013 - 11:42:09
Новичок
Покинул форум
Сообщений всего: 16
Дата рег-ции: Янв. 2013
Помог: 0 раз(а)
Занеси ему в куки некий ключ, доступный лишь ему, и при каждом переходе на другую страницу меняй его, обновляя его и в куках и в базе, в случае если пользователь отсутствует более 2ух минут, удаляй ключ из базы, и при повторном входе высылай ему на ящик (введённый при регистрации без возможности смены) новый линк входа с новым ключом в самой ссылке действительный в течении пары минут.
Но возможно передача аккаунта емайл в другие руки, хотя можно ещё зделать привязку к ip, ua и региону владельца.
Но скажем таже опера порой меняет ip адреса, НО всё это будет весьма не комфортно для пользователя.
esterio
Отправлено: 29 Января, 2013 - 11:45:13
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
Чем больше безопасность тем хуже юзабилити и наоборот. Тут нужно найти некий компромис. Привязка к IP - дохлый номер(дынамическый ID, NAT и т.д.), куки - тоже не гарантия. Но есть выход - теперь доступно локальное хранилище браузера(но одно но - не все поддерживают, особенно ослик)
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.