Форум русской поддержки Joomla!® CMS
09.12.2016, 11:49:21 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Как хранить сторонние пароли?

 (Прочитано 242 раз)
0 Пользователей и 1 Гость смотрят эту тему.
platonische
Давно я тут
****

Репутация: +0/-0
Offline Offline

Сообщений: 297


Парусные экспедиции vk.com/tc670


« : 31.10.2016, 13:33:12 »

Появилась необходимость хранить пароли от платежных систем в базе данных.

Подскажите кто как хранить сторонние пароли в Joomla.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #1 : 31.10.2016, 13:36:53 »

Появилась необходимость хранить пароли от платежных систем в базе данных.

Подскажите кто как хранить сторонние пароли в Joomla.
В базе данных какой? На сайте? Забудьте! Любой механизм обратимого шифрования подразумевает хранение ключа рядом с зашифрованным паролем. Это как закрыть квартиру а ключ под коврик положить. Если кто из гуру знает какой нибудь метод обратимого шифрования для записи в базе данных, стойкий ко взлому, буду просто счастлив узнать, как это можно реализовать!
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #2 : 31.10.2016, 13:37:12 »

Плохая идея. Это будет ваша уязвимость.
Показать текстовый блок

Мб можно скрипт написать, пароли кешируются, записываются. Но вы даже юридически не имеете право так делать.
И и но! в любом случае-это бред и я не понимаю, почему у вас необходимость такая возникла?
И приём платежей-это сторона "банка" и безопасность сделки и клентов, не рискуйте так.
Найдёте головную боль при этом. В добавок скрип имеет право связываться с платежами, а это лазейка в уязвимости!
« Последнее редактирование: 31.10.2016, 13:46:56 от vipiusss » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #3 : 31.10.2016, 13:40:02 »

Никогда не видел в этом необходимости. Разве они нужны клиенту для совершения платежа?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #4 : 31.10.2016, 13:48:38 »

метод обратимого шифрования для записи в базе данных, стойкий ко взлому, буду просто счастлив узнать, как это можно реализовать!
никак. шифрование по определению обратимо, его даже взламывать не нужно.

ТС, в чем у вас задача итого?
Записан
platonische
Давно я тут
****

Репутация: +0/-0
Offline Offline

Сообщений: 297


Парусные экспедиции vk.com/tc670


« Ответ #5 : 31.10.2016, 14:25:38 »

Задача тривиальна. Есть банк который выдает доступ к своему АПИ по логину и паролю. Запрос идет с авторизацией.
Так вот где хранить лучше эти логин и пароль.
Сам банк прислал мне плагин для VM так там просто в параметры они загнали логин и пароль.
Вопрос как правильно это делать?
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #6 : 31.10.2016, 14:31:36 »

Задача тривиальна. Есть банк который выдает доступ к своему АПИ по логину и паролю. Запрос идет с авторизацией.
Так вот где хранить лучше эти логин и пароль.
Сам банк прислал мне плагин для VM так там просто в параметры они загнали логин и пароль.
Вопрос как правильно это делать?
Это должен клиент вводить при авторизации или при совершении транзакции. Вас под суд могут отправить, если будете их хранить. Кроме того, есть законодательные требования к безопасности таких систем.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #7 : 31.10.2016, 14:33:30 »

Никогда не видел в этом необходимости. Разве они нужны клиенту для совершения платежа?
Есть у меня в проекте личный кабинет с кошельком, там мне требуется зашифровать хотя бы баланс на счете. У нас для этого спецсредства используются, а вот как это в БД сделать, пока не придумал. Да и вряд ли придумаю. Если только заставить пользователя вводить ключ  или генерировать и посылать по SMS... Но это уже другой уровень, не Joomla...
« Последнее редактирование: 31.10.2016, 14:37:19 от SeBun » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #8 : 31.10.2016, 15:37:23 »

Цитировать
Есть банк который выдает доступ к своему АПИ по логину и паролю
АПИ предназначено для совершения односторонних транзакций, то есть перевод на Ваш банковский счёт с последующим событием о поступлении средств от клиента? Насколько я знаю, не для всех методов АПИ может быть нужна авторизация. Какие там методы есть?
« Последнее редактирование: 31.10.2016, 15:43:49 от Филипп Сорокин » Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #9 : 31.10.2016, 15:46:05 »

не занимайтесь никроменедментом!
идея не верная и получите много минусов.
И вообще идею на свалку.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #10 : 31.10.2016, 16:36:27 »

Вопрос как правильно это делать?
да так и сделать, как сделано. а как вы иначе сделаете? можно поднять сторонний сервер, и хранить логин и пароль там, и запрашивать оттуда. но что это особо даст? все равно в конечном итоге будет доступен. зашифруйте пароль например mcrypt, чтоб в базе не хранился в открытом виде. ключ храните в файле. при обращении к апи расшифровывайте. таким образом злоумышленнику нужен будет и сам зашифрованны пароль (база данных) и ключ (файлы). это хоть как то повысит безопасность. но все равно 100% не добьетесь никак. пароль надо передавать в открытом виде, поэтому в конечном счете его все равно можно будет посмотреть...
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #11 : 31.10.2016, 17:28:13 »

таким образом злоумышленнику нужен будет и сам зашифрованны пароль (база данных) и ключ (файлы). это хоть как то повысит безопасность. но все равно 100% не добьетесь никак. пароль надо передавать в открытом виде, поэтому в конечном счете его все равно можно будет посмотреть...
Да никак не повысит безопасность, лишь потребуется немного больше времени на изучение механизма дешифратора. И либо ключ будет найден, либо перехвачен.
Записан
platonische
Давно я тут
****

Репутация: +0/-0
Offline Offline

Сообщений: 297


Парусные экспедиции vk.com/tc670


« Ответ #12 : 31.10.2016, 18:20:07 »

API практически односторонние операции выполняет, за исключением возврата, но и то только на карту отправителя.
Функции:
- оплата
- проверка оплаты
- возврат оплаты
Записан
platonische
Давно я тут
****

Репутация: +0/-0
Offline Offline

Сообщений: 297


Парусные экспедиции vk.com/tc670


« Ответ #13 : 31.10.2016, 18:21:12 »

Понял что смысла хранить в зашифрованном виде нет никакого. Никому он не нужен. Если только кто не захочет на стороннем ресурсе деньги переводить на мой счет, а это врядли.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #14 : 31.10.2016, 18:22:59 »

Да никак не повысит безопасность, лишь потребуется немного больше времени на изучение механизма дешифратора. И либо ключ будет найден, либо перехвачен.
я понимаю. но возможно нужно будет как раз "немного больше времени" чтобы успеть сменить пароль Azn взлом то будет обнаружен, поэтому действия со стороны администратора тоже ведь будут предприняты в конечном итоге.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #15 : 31.10.2016, 18:23:51 »

Понял что смысла хранить в зашифрованном виде нет никакого
если апи позволяет только это, то реально никому он не нужен. если бы апи позволяло перевод с вашего счета куда то - это другой вопрос. а так просто смысла нет никакого абсолютно.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #16 : 31.10.2016, 18:27:22 »

Это должен клиент вводить при авторизации или при совершении транзакции. Вас под суд могут отправить, если будете их хранить. Кроме того, есть законодательные требования к безопасности таких систем.
И по email отдавать заставят.

P.S тему в топку, автору в коммерческий раздел. Хотя вообще-то обычно у апи особенно банковский есть подробные инструкции и требования.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #17 : 31.10.2016, 18:29:51 »

тему в топку, автору в коммерческий раздел
Зачем автору в коммерческий раздел? Автор не просил что то то сделать, он лишь спрашивал, есть ли решение вопроса, и получил исчерпывающие ответы.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #18 : 31.10.2016, 18:35:35 »

Зачем автору в коммерческий раздел? Автор не просил что то то сделать, он лишь спрашивал, есть ли решение вопроса, и получил исчерпывающие ответы.
Цитировать
Появилась необходимость хранить пароли от платежных систем в базе данных.
Ответы то не исчерпали необходимость. Они ли отвечаю на вопрос можно ли.

P.S А вообще это у меня новое кредо всех в коммраздел =)


Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #19 : 31.10.2016, 18:38:06 »

я вообще не пойму, чего вы накинулись на человека? Azn ему то всего нужно настроить обычный платежный плагин. а вы о каких то страстях все рассуждаете Azn
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #20 : 31.10.2016, 18:39:22 »

я вообще не пойму, чего вы накинулись на человека? Azn ему то всего нужно настроить обычный платежный плагин. а вы о каких то страстях все рассуждаете Azn
Вот я и говорю в коммраздел. Сделают быстро и без напряга, все что касается бабла должен делать тот кто это умеет иначе проблем не оберешься. =)
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #21 : 31.10.2016, 19:47:24 »

ну да, вбить 2 значения в 2 инпута - это ком раздел однозначно Azn
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #22 : 01.11.2016, 00:11:02 »

API практически односторонние операции выполняет, за исключением возврата, но и то только на карту отправителя.
Функции:
- оплата
- проверка оплаты
- возврат оплаты
Если методы АПИ ограничиваются указанными, то можете спокойно работать. Пароль, конечно же, надо шифровать. Ключ можете вшить прямо в исполняемый файл в виде private метода, например. Таким образом, если кто-то украдёт Вашу базу, ему это ничего не даст.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #23 : 01.11.2016, 10:38:06 »

Таким образом, если кто-то украдёт Вашу базу, ему это ничего не даст.
А что мешает посмотреть код, если уж получил доступ к сайту? При таком подходе получается, что отдельно база сама по себе без ключа бесполезна, но и ключ рядом...
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1466


« Ответ #24 : 01.11.2016, 11:38:51 »

Конечно, нет идеального решения. С таким же успехом можно просто включить пароль в нешифрованном виде в исполняемый файл и забыть про базу.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #25 : 01.11.2016, 11:56:19 »

отдельно база сама по себе без ключа бесполезна, но и ключ рядом...
рядом, но не всегда есть доступ одновременно и к файлам и к базе. как и сказал Филипп, идеального решения в данном случае нет. в конечном итоге при взломе это просто отодвинет момент, но не исключит его полностью. просто тут вопрос - кто после взлома будет первым Azn и как я уже и сказал возможно "чуть-чуть больше времени" как раз и надо будет админу, чтобы успеть сменить пароль.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #26 : 01.11.2016, 12:43:56 »

...возможно "чуть-чуть больше времени" как раз и надо будет админу, чтобы успеть сменить пароль.
Дима! Сорь, конечно, за флуд, но зная наших "админов".......................
Это уже должна быть система другого уровня. В Joomla (да и в других CMS) реализовать подобное вряд ли удастся. Имхо.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #27 : 01.11.2016, 15:58:43 »

зная наших "админов".......................
ну с этим не поспоришь Azn некоторые обновления сознательно отключают, чего тут говорить за шифрование паролей Azn
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #28 : 01.11.2016, 16:08:53 »

...чего тут говорить за шифрование паролей

Кстати есть идея, если позволите... Возможно, для нее нужно выделить отдельную тему, но не уверен, что идея хорошая. Суть в том, что мы для хранения данных используем отдельную базу, скрипты для работы с этой базой хранятся за пределами root-директории, предоставляется только API. Например, при работе пользователя запросы от него будут перехватываться этой системой и слать в обработчик уже готовый результат. Самый простой вариант - вызов скрипта через htaccess или php.ini, если есть к нему доступ. При обмене данными API дописывает к запросу свой уникльный токен, привязанный к IP. Когда пользователь загружает страницу, JS делает запрос к серверу, в котором содержится команда для API, на сервере перед выдачей результата запрос от пользователя перехватывается, выполняются какие то действия, подготавливаются данные, затем они подгружаются к запросу и осуществляется редирект. При этом нет доступа ни к базе, ни к скриптам, ни вообще к этой системе, ее как бы нет. Идея сырая, так...мелькнуло в голове... Как думаете?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #29 : 01.11.2016, 16:33:09 »

ну ее как бы нет, но она как бы есть Azn что помешает в конечном итоге просто вызвать апи?
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet