Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 32 Ответов
  • 1378 Просмотров
*

platonische

  • Давно я тут
  • 523
  • 2 / 1
  • Парусные экспедиции vk.com/tc670
Появилась необходимость хранить пароли от платежных систем в базе данных.

Подскажите кто как хранить сторонние пароли в Joomla.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #1 : 31.10.2016, 12:36:53 »
Появилась необходимость хранить пароли от платежных систем в базе данных.

Подскажите кто как хранить сторонние пароли в Joomla.
В базе данных какой? На сайте? Забудьте! Любой механизм обратимого шифрования подразумевает хранение ключа рядом с зашифрованным паролем. Это как закрыть квартиру а ключ под коврик положить. Если кто из гуру знает какой нибудь метод обратимого шифрования для записи в базе данных, стойкий ко взлому, буду просто счастлив узнать, как это можно реализовать!
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Как хранить сторонние пароли?
« Ответ #2 : 31.10.2016, 12:37:12 »
Плохая идея. Это будет ваша уязвимость.
Спойлер
[свернуть]

Мб можно скрипт написать, пароли кешируются, записываются. Но вы даже юридически не имеете право так делать.
И и но! в любом случае-это бред и я не понимаю, почему у вас необходимость такая возникла?
И приём платежей-это сторона "банка" и безопасность сделки и клентов, не рискуйте так.
Найдёте головную боль при этом. В добавок скрип имеет право связываться с платежами, а это лазейка в уязвимости!
« Последнее редактирование: 31.10.2016, 12:46:56 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Как хранить сторонние пароли?
« Ответ #3 : 31.10.2016, 12:40:02 »
Никогда не видел в этом необходимости. Разве они нужны клиенту для совершения платежа?
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #4 : 31.10.2016, 12:48:38 »
метод обратимого шифрования для записи в базе данных, стойкий ко взлому, буду просто счастлив узнать, как это можно реализовать!
никак. шифрование по определению обратимо, его даже взламывать не нужно.

ТС, в чем у вас задача итого?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

platonische

  • Давно я тут
  • 523
  • 2 / 1
  • Парусные экспедиции vk.com/tc670
Re: Как хранить сторонние пароли?
« Ответ #5 : 31.10.2016, 13:25:38 »
Задача тривиальна. Есть банк который выдает доступ к своему АПИ по логину и паролю. Запрос идет с авторизацией.
Так вот где хранить лучше эти логин и пароль.
Сам банк прислал мне плагин для VM так там просто в параметры они загнали логин и пароль.
Вопрос как правильно это делать?
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #6 : 31.10.2016, 13:31:36 »
Задача тривиальна. Есть банк который выдает доступ к своему АПИ по логину и паролю. Запрос идет с авторизацией.
Так вот где хранить лучше эти логин и пароль.
Сам банк прислал мне плагин для VM так там просто в параметры они загнали логин и пароль.
Вопрос как правильно это делать?
Это должен клиент вводить при авторизации или при совершении транзакции. Вас под суд могут отправить, если будете их хранить. Кроме того, есть законодательные требования к безопасности таких систем.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #7 : 31.10.2016, 13:33:30 »
Никогда не видел в этом необходимости. Разве они нужны клиенту для совершения платежа?
Есть у меня в проекте личный кабинет с кошельком, там мне требуется зашифровать хотя бы баланс на счете. У нас для этого спецсредства используются, а вот как это в БД сделать, пока не придумал. Да и вряд ли придумаю. Если только заставить пользователя вводить ключ  или генерировать и посылать по SMS... Но это уже другой уровень, не Joomla...
« Последнее редактирование: 31.10.2016, 13:37:19 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Как хранить сторонние пароли?
« Ответ #8 : 31.10.2016, 14:37:23 »
Цитировать
Есть банк который выдает доступ к своему АПИ по логину и паролю
АПИ предназначено для совершения односторонних транзакций, то есть перевод на Ваш банковский счёт с последующим событием о поступлении средств от клиента? Насколько я знаю, не для всех методов АПИ может быть нужна авторизация. Какие там методы есть?
« Последнее редактирование: 31.10.2016, 14:43:49 от Филипп Сорокин »
*

vipiusss

  • Гуру
  • 5739
  • 344 / 11
  • Скайп: renor_
Re: Как хранить сторонние пароли?
« Ответ #9 : 31.10.2016, 14:46:05 »
не занимайтесь никроменедментом!
идея не верная и получите много минусов.
И вообще идею на свалку.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #10 : 31.10.2016, 15:36:27 »
Вопрос как правильно это делать?
да так и сделать, как сделано. а как вы иначе сделаете? можно поднять сторонний сервер, и хранить логин и пароль там, и запрашивать оттуда. но что это особо даст? все равно в конечном итоге будет доступен. зашифруйте пароль например mcrypt, чтоб в базе не хранился в открытом виде. ключ храните в файле. при обращении к апи расшифровывайте. таким образом злоумышленнику нужен будет и сам зашифрованны пароль (база данных) и ключ (файлы). это хоть как то повысит безопасность. но все равно 100% не добьетесь никак. пароль надо передавать в открытом виде, поэтому в конечном счете его все равно можно будет посмотреть...
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #11 : 31.10.2016, 16:28:13 »
таким образом злоумышленнику нужен будет и сам зашифрованны пароль (база данных) и ключ (файлы). это хоть как то повысит безопасность. но все равно 100% не добьетесь никак. пароль надо передавать в открытом виде, поэтому в конечном счете его все равно можно будет посмотреть...
Да никак не повысит безопасность, лишь потребуется немного больше времени на изучение механизма дешифратора. И либо ключ будет найден, либо перехвачен.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

platonische

  • Давно я тут
  • 523
  • 2 / 1
  • Парусные экспедиции vk.com/tc670
Re: Как хранить сторонние пароли?
« Ответ #12 : 31.10.2016, 17:20:07 »
API практически односторонние операции выполняет, за исключением возврата, но и то только на карту отправителя.
Функции:
- оплата
- проверка оплаты
- возврат оплаты
*

platonische

  • Давно я тут
  • 523
  • 2 / 1
  • Парусные экспедиции vk.com/tc670
Re: Как хранить сторонние пароли?
« Ответ #13 : 31.10.2016, 17:21:12 »
Понял что смысла хранить в зашифрованном виде нет никакого. Никому он не нужен. Если только кто не захочет на стороннем ресурсе деньги переводить на мой счет, а это врядли.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #14 : 31.10.2016, 17:22:59 »
Да никак не повысит безопасность, лишь потребуется немного больше времени на изучение механизма дешифратора. И либо ключ будет найден, либо перехвачен.
я понимаю. но возможно нужно будет как раз "немного больше времени" чтобы успеть сменить пароль :) взлом то будет обнаружен, поэтому действия со стороны администратора тоже ведь будут предприняты в конечном итоге.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #15 : 31.10.2016, 17:23:51 »
Понял что смысла хранить в зашифрованном виде нет никакого
если апи позволяет только это, то реально никому он не нужен. если бы апи позволяло перевод с вашего счета куда то - это другой вопрос. а так просто смысла нет никакого абсолютно.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Как хранить сторонние пароли?
« Ответ #16 : 31.10.2016, 17:27:22 »
Это должен клиент вводить при авторизации или при совершении транзакции. Вас под суд могут отправить, если будете их хранить. Кроме того, есть законодательные требования к безопасности таких систем.
И по email отдавать заставят.

P.S тему в топку, автору в коммерческий раздел. Хотя вообще-то обычно у апи особенно банковский есть подробные инструкции и требования.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #17 : 31.10.2016, 17:29:51 »
тему в топку, автору в коммерческий раздел
Зачем автору в коммерческий раздел? Автор не просил что то то сделать, он лишь спрашивал, есть ли решение вопроса, и получил исчерпывающие ответы.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Как хранить сторонние пароли?
« Ответ #18 : 31.10.2016, 17:35:35 »
Зачем автору в коммерческий раздел? Автор не просил что то то сделать, он лишь спрашивал, есть ли решение вопроса, и получил исчерпывающие ответы.
Цитировать
Появилась необходимость хранить пароли от платежных систем в базе данных.
Ответы то не исчерпали необходимость. Они ли отвечаю на вопрос можно ли.

P.S А вообще это у меня новое кредо всех в коммраздел =)


Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #19 : 31.10.2016, 17:38:06 »
я вообще не пойму, чего вы накинулись на человека? :) ему то всего нужно настроить обычный платежный плагин. а вы о каких то страстях все рассуждаете :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Как хранить сторонние пароли?
« Ответ #20 : 31.10.2016, 17:39:22 »
я вообще не пойму, чего вы накинулись на человека? :) ему то всего нужно настроить обычный платежный плагин. а вы о каких то страстях все рассуждаете :)
Вот я и говорю в коммраздел. Сделают быстро и без напряга, все что касается бабла должен делать тот кто это умеет иначе проблем не оберешься. =)
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #21 : 31.10.2016, 18:47:24 »
ну да, вбить 2 значения в 2 инпута - это ком раздел однозначно :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Как хранить сторонние пароли?
« Ответ #22 : 31.10.2016, 23:11:02 »
API практически односторонние операции выполняет, за исключением возврата, но и то только на карту отправителя.
Функции:
- оплата
- проверка оплаты
- возврат оплаты
Если методы АПИ ограничиваются указанными, то можете спокойно работать. Пароль, конечно же, надо шифровать. Ключ можете вшить прямо в исполняемый файл в виде private метода, например. Таким образом, если кто-то украдёт Вашу базу, ему это ничего не даст.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #23 : 01.11.2016, 09:38:06 »
Таким образом, если кто-то украдёт Вашу базу, ему это ничего не даст.
А что мешает посмотреть код, если уж получил доступ к сайту? При таком подходе получается, что отдельно база сама по себе без ключа бесполезна, но и ключ рядом...
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Как хранить сторонние пароли?
« Ответ #24 : 01.11.2016, 10:38:51 »
Конечно, нет идеального решения. С таким же успехом можно просто включить пароль в нешифрованном виде в исполняемый файл и забыть про базу.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #25 : 01.11.2016, 10:56:19 »
отдельно база сама по себе без ключа бесполезна, но и ключ рядом...
рядом, но не всегда есть доступ одновременно и к файлам и к базе. как и сказал Филипп, идеального решения в данном случае нет. в конечном итоге при взломе это просто отодвинет момент, но не исключит его полностью. просто тут вопрос - кто после взлома будет первым :) и как я уже и сказал возможно "чуть-чуть больше времени" как раз и надо будет админу, чтобы успеть сменить пароль.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #26 : 01.11.2016, 11:43:56 »
...возможно "чуть-чуть больше времени" как раз и надо будет админу, чтобы успеть сменить пароль.
Дима! Сорь, конечно, за флуд, но зная наших "админов".......................
Это уже должна быть система другого уровня. В Joomla (да и в других CMS) реализовать подобное вряд ли удастся. Имхо.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #27 : 01.11.2016, 14:58:43 »
зная наших "админов".......................
ну с этим не поспоришь :) некоторые обновления сознательно отключают, чего тут говорить за шифрование паролей :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: Как хранить сторонние пароли?
« Ответ #28 : 01.11.2016, 15:08:53 »
...чего тут говорить за шифрование паролей

Кстати есть идея, если позволите... Возможно, для нее нужно выделить отдельную тему, но не уверен, что идея хорошая. Суть в том, что мы для хранения данных используем отдельную базу, скрипты для работы с этой базой хранятся за пределами root-директории, предоставляется только API. Например, при работе пользователя запросы от него будут перехватываться этой системой и слать в обработчик уже готовый результат. Самый простой вариант - вызов скрипта через htaccess или php.ini, если есть к нему доступ. При обмене данными API дописывает к запросу свой уникльный токен, привязанный к IP. Когда пользователь загружает страницу, JS делает запрос к серверу, в котором содержится команда для API, на сервере перед выдачей результата запрос от пользователя перехватывается, выполняются какие то действия, подготавливаются данные, затем они подгружаются к запросу и осуществляется редирект. При этом нет доступа ни к базе, ни к скриптам, ни вообще к этой системе, ее как бы нет. Идея сырая, так...мелькнуло в голове... Как думаете?
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Как хранить сторонние пароли?
« Ответ #29 : 01.11.2016, 15:33:09 »
ну ее как бы нет, но она как бы есть :) что помешает в конечном итоге просто вызвать апи?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться