Wdrażam właśnie powyższe i mam troszkę obaw ze względu na brak doświadczenia w tej materii.
Pierwsze pytanie to czy np. opierać się o e-mail.
Czy jeżeli ktoś zarejestrował się normalnie w oparciu o potwierdzenie e-mail to zalogować go gdy np. zapomni hasła?
Czy to bezpieczne?
W mojej opinii to sytuacja zbliżona do wykradnięcia hasła do e-maila,.
Pełna wersja: Rejestrcja / logowanie przez FB
Logowanie przez FB i "normalne" powinno być oddzielnymi bytami.
A jak to się ma do mojego pytania?
Przecież to oczywiste, że logowanie jest oddzielne.
Ale przykładowo w dość popularnych serwisach - zarejestrowałem się kiedyś normalnie, z potwierdzeniem e-mail, potem zapomniałem hasła i spróbowałem się zalogować via FB i zalogowałem się na te konkretne konto.
Jest to wg mnie dość wygodne.
Przecież to oczywiste, że logowanie jest oddzielne.
Ale przykładowo w dość popularnych serwisach - zarejestrowałem się kiedyś normalnie, z potwierdzeniem e-mail, potem zapomniałem hasła i spróbowałem się zalogować via FB i zalogowałem się na te konkretne konto.
Jest to wg mnie dość wygodne.
Wygodne, ale mało bezpieczne, wystarczy że logujesz się w kilku serwisach przez FB, wystarczy znać dostęp tylko do FB. To że się zalogowałeś to logiczne, w końcu i tak nie logujesz się do serwisu bezpośrednio danymi dostarczonymi przez FB, tylko generujesz przy ich pobieraniu klucz i to on powinien Ci dać dostęp do innego serwisu.
Cytat(markonix @ 16.10.2014, 22:58:06 ) 
A jak to się ma do mojego pytania?
Przecież to oczywiste, że logowanie jest oddzielne.
Ale przykładowo w dość popularnych serwisach - zarejestrowałem się kiedyś normalnie, z potwierdzeniem e-mail, potem zapomniałem hasła i spróbowałem się zalogować via FB i zalogowałem się na te konkretne konto.
Jest to wg mnie dość wygodne.
Przecież to oczywiste, że logowanie jest oddzielne.
Ale przykładowo w dość popularnych serwisach - zarejestrowałem się kiedyś normalnie, z potwierdzeniem e-mail, potem zapomniałem hasła i spróbowałem się zalogować via FB i zalogowałem się na te konkretne konto.
Jest to wg mnie dość wygodne.
Przecież napisałem, że nie powinno się tak łączyć tak kont. Tak jak napisał @!*! jest to niebezpieczne
Cytat(!*! @ 17.10.2014, 12:33:43 )
Wygodne, ale mało bezpieczne, wystarczy że logujesz się w kilku serwisach przez FB, wystarczy znać dostęp tylko do FB.
Nie jest to po prostu problem analogiczny do skrzynki e-mail?
Różnica, moim zdaniem, tylko taka, że z reguły lepiej dbamy o bezpieczeństwo hasła do skrzynki e-mail, aniżeli do facebooka.
Skłaniam się jednak do logowania przez FB po e-mailu. Haker może przejąć dostęp do FB i się zalogować ale ważniejsze operacje będą wymagały i tak zatwierdzania hasłem (po rejestracji via FB i tak wymuszam jego ustalenie).
Cytat(markonix @ 18.10.2014, 00:04:08 )
Nie jest to po prostu problem analogiczny do skrzynki e-mail?
Różnica, moim zdaniem, tylko taka, że z reguły lepiej dbamy o bezpieczeństwo hasła do skrzynki e-mail, aniżeli do facebooka.
Różnica, moim zdaniem, tylko taka, że z reguły lepiej dbamy o bezpieczeństwo hasła do skrzynki e-mail, aniżeli do facebooka.
Nie. Ponieważ skrzynek email możesz mieć dużo i nie zawsze do każdego serwisu tą samą.
Cytat(markonix @ 18.10.2014, 00:04:08 )
Skłaniam się jednak do logowania przez FB po e-mailu. Haker może przejąć dostęp do FB i się zalogować ale ważniejsze operacje będą wymagały i tak zatwierdzania hasłem (po rejestracji via FB i tak wymuszam jego ustalenie).
Czyli jednak niepotrzebnie kasowałem swoje ostatnie zdanie z postu wcześniej. Dlaczego wykorzystując logowanie przez FB, chcesz się logować u siebie danymi pobranymi z FB? Skoro wykorzystujesz "szybkie logowanie", to na co Ci weryfikacja, skoro zrobił to już FB?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.