Vlákno názorů k článku Spouštíme novou verzi Root.cz - jaké jsou novinky? od Franta Kučera - Nový design je moc hezký, hlavně diskuse. Tak...
-
Nový design je moc hezký, hlavně diskuse. Tak jen pár připomínek:
- Trvalé přihlášení – konečně, díky :-)
- „Kontrolují se ovšem jiné položky, jako je prohlížeč, operační systém, rozlišení displeje a podobně. Ty se pak použijí (kromě cookie) pro identifikaci uživatele.“ – tohle je přece úplně na nic – ten, kdo ukradne sezení (cookie), stejně tak odposlechne typ našeho prohlížeče a další údaje. Tuhle „ochranu“ mohl vymyslet leda někdo choromyslný*. Naopak kontrola IP adresy jakž takž funguje (i když nepomůže kradení mezi uživateli, kteří sdílí stejnou veřejnou IP), stoprocentní ochrana je stejně leda šifrování HTTPS (možná).
- IP adresy u neregistrovaných – ok, také by se mohla zobrazovat PR agentura (či pobočka MS), ze které byl příspěvek zaslán :-D
- V souvislosti s IP adresami mě napadla podpora IPv6. Bude? Kdy?
- A co WYSIWYG editor?
- Stránkování v diskusi se mi moc nelíbí – nešlo by vypnout (v uživatelském nastavení)? Nebo aspoň možnost nastavit si dost vysoký počet příspěvků, aby se tam většina diskusí vešla?
*) snad jsem to pochopil správně, že tady na Rootu se kontrolují jen IP adresy
-
Trvalé přihlašování se dá vyřešit bezpečně i pohodlně:
Uživatel se přihlásí pomocí SSL, v rámci HTTPS se uloží trvalé cookie → uživatel bude přesměrován na nešifrovaný protokol a tam automaticky dostane dočasné cookie → to po nějaké době vyprší → uživatel bude automaticky přesměrován na SSL, tam je jeho trvalé cookie, takže nemusí zadávat heslo, tím se ověří → a tak pořád dokola.
Pokud se ti změní IP adresa nebo uběhne nějaká doba, dočasné cookie vyprší a hodí tě to na SSL a pak zase zpátky. Trvalé cookie nepůjde ukradnout, protože se bude přenášet šifrovaně.
Sezení půjde krást, jen pokud bys s někým sdílel stejnou IP adresu a jen dočasně, zároveň to bude pohodlné, protože nebude potřeba zadávat heslo.
