10
תגובות

Laravel | Encryption

פתח OrelBeY ,
מה אתם אומרים על המחלקה Crypter של הפריימו'ורק Laravel? אני ממש לא מבין בדברים כאלה (סוגי הצפנה וכדו')...
נ.ב. כל הצפנה שם משתמשת באותו מפתח. (אבל זה קל מאוד לשנות את זה; זה גמיש מאוד. מומלץ?)

10 תשובות

avatar ענה intval ב 25 לדצמבר 2012 #

מומלץ. היא עובדת ואנשים אחרים משתמשים בה.
השאלה היחידה שאתה צריך לשאות את עצמך זה האם אתה מבין בשביל מה אתה מתכוון להשתמש בה
ושאתה באמת צריך אחת כזאת.

avatar ענה OrelBeY ב 25 לדצמבר 2012 #

כשחושבים על זה, לא. :) זו הצפנה דו-צדדית, נכון? בשביל מה אני צריך להשתמש בה?

avatar ענה intval ב 26 לדצמבר 2012 #

כנראה שהתשובה לשאלך שלך היא שאתה לא צריך :)

avatar ענה OrelBeY ב 26 לדצמבר 2012 #

כנראה שלא. XD
אגב, אם אני לא ממש מבין את הקטע של שליחת טפסים וכדו'. הרי כשהגולש מתחבר, הקוקי שלו נשלח לאתר (כולל הטופס: שם משתמש וסיסמה), אז מה מונע ממישהו לגשת למידע לפני שהוא מגיע לשרת?

avatar ענה intval ב 26 לדצמבר 2012 #

שום דבר, אם אתה לא משתמש ב https

avatar ענה OrelBeY ב 26 לדצמבר 2012 #

אז למה לא כולם משתמשים בזה?

avatar ענה intval ב 26 לדצמבר 2012 #

כי מה אתה תעשה אם התוכן של הטופס שמישהו הזין כאן באתר ?
שנית תעודת ssl עולה כסף, שלישית זה יוצר עומס על השרת.
יש רמות שונות של כאב ראש שאתה מוכן לסבול לטובת אבטחה.

אבל האמת שזה יותר שאלה מסוג אז למה לא כולם משתמשים בלאראבל.
כי הם עצלנים :)

avatar ענה OrelBeY ב 26 לדצמבר 2012 #

אבל כן יש בעיית אבטחה גדולה מאוד. למשל, סיסמאות. אני מניח שלרוב האנשים אין סיסמה שונה לכל אתר. תאר לך שיגנבו סיסמה של גולש דרך האתר שלך - ואז יוכלו לפרוץ לחשבונות שלו באתרים שמשתמשים ב-SSL.
ומה עם הסיסמה של מנהל האתר? אז בוא פשוט ניתן לכולם גישה לפאנל הניהול או ו'אטבר?
ובאתרים שיש בהם הודעות פרטיות - זה נורא לא נחמד...
זה כמו להגיד: תימנע מפרצות XSS ו-CSRF, אבל SQL Injection - אף אחד לא באמת מתגונן מזה...

avatar ענה intval ב 26 לדצמבר 2012 #

דווקא את שלושת הפרצות האחרונות אתה יכול לעשות מהבית
אבל להאזין לתעבורה שלי לך יהיה קצת יותר קשה. זה לא בלתי אפשרי וזה לא בלתי אפשרי גם כשיש SSL.

לכן באבטחה זה תמיד שיקול של כמה אתה בתור פורץ תרוויח מזה, לאומת כמה כסף תשקיע בלעבור את ההגנה הזו. גם בשדה התעופה אם מישהו היה רוצה, היה יכול לחפור תוך חצי שנה - שנה מנהרה קטנה מתחת לגדר ישירות אל מסלול ההמראה, אבל כלכלית יהיה למישהו יותר משלתם לקנות כמה טילים וליירת איתם מטוסים במקום.

אתה צודק שלנתונים קריטיים זה בהחלט חשוב ולכן אם אין דבר כזה באתר שבו אתה מזין את מספר כרטיס האשראי - תסתובב ותלך.

avatar ענה OrelBeY ב 26 לדצמבר 2012 #

אוקיי. תודה.