Diskuze: integrace GDPR, jak šifrovat hesla pro aplikace třetích stran
V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Martin Štěpánek :25.9.2018 12:15
Základem tohoto je, že ti třetí strana pokud možno poskytne hash/token
určený přímo pro tebe pro autentizaci u nich. Jako například, když
Facebook ti při přihlášení na tvé stránce poskytne token, kterým ho pak
můžeš přes API ověřit.
Pokud tu ta možnost není, tak ti asi nezbývá žádný jiný způsob než
stornovat hesla a ano v tom případě by se měl použít vhodný obousměrný
šifrovací algoritmus. Přímo php má nějaké funkce pro toto, takže bych
doporučil se podívat na ně. 
+20 Zkušeností
+2,50 Kč
Ono se to spatne popisuje. Zkusim to narozneji.
user> user + psw
program registrace> prijme, ulozi do tabulky (id, user, userhash =
hashuj(user,psw,sul), a dalsi udaje)
program registrace> a prida do tabulky sluzeb sluzby, pro kazdou vyrobi
individualni sluzbahash = hashuj(sluzba, userhash,sul)
sluzba1 login> odesila user + psw (normal login)
- prijima to program registrace, vyrobi userhash jako pri registraci
- a dale to zpracovava pro login v tabulce sluzby, vyrobi sluzbahash a overi s tabulkou
Nalogovani zapise do tabulky nalogovani (id, sluzba_id, user, nalogovanihash), nalogovanihash se pak odesila do seesion
link na strance na sluzbu2
- prijme to program pro logovani do sluzeb a zjisti, zda jsi nalogovany podle nalogovanihash , ktery mas v session. Kdyz te najde, tak ti jenom zmeni sluzba_id na odpovidajici hodnotu pro sluzba2
Asi by to slo napsat i jednoduseji, vic nazorneji
No, jde o to, ze dneska zadny system by nemelo zajimat tvoje psw. System by
mel mit vytvoreny a ulozeny jen hash.
Ano, nemuzes poslat uzivateli jeho heslo.
Ale muzes mu ho zmenit!
A nebo si ho muze pres nejaky formular zmenit sam. Posles mu na mail link na
formular, ktery mu otevres na nejaky cas, kdy je mozne zmenit heslo. Otevre ho
prave klikem na ten link. A opet, uzivatel sice posila heslo, ale ty mu vyrobis
jen novy hash. Takze zase nemas zadne heslo.
U GDPR jde o to, aby jsi si ukladal co nejmene udaju, kterymi lze uzivatele
identifikovat. Pokud mas ten hash dos pomichany pomoci soli (treba sul zalozena
na aktualnim case a nahodnych znacich), tak pokud by se uzivatel registroval
vzdy stejnym jmenem a heslem, mel by byt hash vzdy unikatni.
Cili, pokud bude tvuj program na 10 pc a uzivatel se v kazdem z nich registruje,
tak nemuzes s jistotou rici, kdyz pouziva stejny nick, ze je to stejny user.
Jo, neco jineho je, kdyby vsech 10 programu ukladalo user, psw. To jsou 2 udaje, ktere jsou obvykle pro dva ruzne lidi unikatni.
Samozrejme, muzes si ukladat dalsi pomocne udaje jako ip a pod. Ale tady fakt
setrit. Fakt jen pouzit pro vlastni ucely a neposilat je sluzbe 1 a 2, sluzbam
tretich stran.
Ty si je samozrejme muzou zjistit take, protoze jim posles odpoved, ano,
prihlaseny, ne neprihlaseny. Ale, to uz je jejich problem, jejich porusovani
prav uzivatele. Tys jim nic takoveho nedal.
Zobrazeno 7 zpráv z 7.