Ответы пользователя по тегу Информационная безопасность
  • Почему опасно в php выставлять неограниченное время жизни сессии?

    Интересный вопрос по безопасности и удобству использования сайта, системы, веб приложения.

    Нравится ли пользователю, когда его выкидывает или требует заново вводить логин и пароль? Нет.
    Более того это не нормально. Лично мне не понравится, что я каждый день буду должен вводить пароль, например на том же ютубе. Не надо так - пользователи, скорее всего, уйдут с сайта.

    А если это личный кабинет банка? Я вошел и...забыл выйти. А войти в веб интерфейс я могу и на терминале банка.
    Снял деньги и ушел, забыв выйти. У банкоматов, конечно есть доп мера безопасности - приложить карту для совершения операции, пин...но не суть.
    Вот для этого и есть время жизни сессии - принудительно разлогинить пользователя.

    Лично я не использую встроенный механизм сессий, а использую куки (срок жизни год).
    Чтобы пользователь сам решал, когда он хочет разлогиниться. Чтобы не возмущался, а что опять разлогинило?
    У меня не банковская система, и похитить куки Васи, Пети - никому не нужно и не принесет особого вреда.
    А если даже и похитят - то он сам виноват.
    Виноват ли продавец замка, что у клиента похитили ключи? Нет.
    А похищают что угодно, номера карт, пин...тут уже человеческий фактор.

    Если я делаю систему, где есть финансы, пополнение счета, то тогда уже можно использовать сессии, устанавливать срок их жизни.

    И вообще есть телефон. Вход по смс. Если пользователи доверяют вам и не боятся засветить свой номер.
    Ответ написан
    1 комментарий
  • Нужна ли математика в информационной безопасности?

    Будущий специалист по ИБ - пишет тебе бывший специалист по ИБ.
    Нет. Не нужна. Максимум базовые знания - не более того.
    Давайте уже жить в реальности. Без этих институтских криптографий, матана и прочей ереси.
    Нам ещё со школы твердили, что нужна, в институте....
    Нас круто на..обманули.

    Теперь по скиллам.
    Посмотри на преподов и их зарплату. Они хорошие математики, физики.
    Как там - идите в бизнес? Делай выводы. Я не сделал - сделай ты.
    Ответ написан
    Комментировать
  • Как защитить данные браузера?

    TOR браузер. Строит цепочки через весь мир. Крайне трудно даже понять откуда пользователь пришел.
    Ответ написан
    Комментировать
  • Какую тему диплома выбрать?

    Всё что связано с шифрованием.
    Самая топовая и крайне сложная тема (я предупреждал!) блокчейн. Как производная от него - криптовалюта.
    Там и алгоритмы и безопасный обмен и всё-всё-всё. Но это не для дипломов, а для глубокого изучения в течении пары лет.

    Полегче - безопасность операционных систем. Всякие политики безопасности доменов, линуксы, виндоусы, антивири и системы защиты ПО сертифицированные ФСТЭК и т.д. Как оно работает, что нужно для соответствия определенному классу, требования и т.д.
    Ответ написан
    Комментировать