Σενάριο για ασφαλή δημιουργία κωδικού πρόσβασης

[masteripper]

Γεια χαρα,

Γνωστός έχει μια ειδική εφαρμογή και θέλει να την κάνει διαθέσιμη σε 1 συγκεκριμένο γκρουπ ατόμων

Εως τώρα έκανε την δουλειά "χειροκίνητα" ...δηλαδή λάμβανε στοιχεία, δημιουργούσε το κλειδί και αυτό ήταν όλο.

Τώρα για λόγους prestige (!!) τον έπιασε να το κάνει Web based., να πηγαίνει κάποιος σε μια φόρμα και αυτόματα να βγαίνει το κλειδί.

Στην αρχική του σκέψη ήταν να χοστάρει την φόρμα κάπου και να την στέλνει στον server που έχει για να δημιουργεί το κλειδί.

Μου ζήτησε την άποψη μου και η άποψη μου είναι με τίποτα να μην υπάρχει κατευθείαν σύνδεση.

Η άποψη μου είναι να hostαρει την φόρμα σε 1 μικρό VPS ...να βάζει τον ενδιαφερόμενο να στέλνει τα στοιχεία και αυτά να στέλνονται με email σε 1 άλλο server o οποίος θα κάνει την επεξεργασία των στοιχείων και να αποστέλει το κλειδί στον αρχικό ενδιαφερόμενο...δεν είμαι πολύ ευχαριστημένος όμως και πάλι...δυστυχώς οι γνώσεις μου σε Web είναι πολύ σκουριασμένες και πιθανόν να υπάρχει καλύτερη μεθοδολογία...οπότε ακούω ιδέες.

Κάποιες σημειώσεις : σκέφτομαι μήπως να βρω κάποιο email relay service ώστε το 1o email να πηγαίνει κάπου default (π.χ.  [email protected] το οποίο να κάνει προώθηση κατευθείαν στον 2ο server) ώστε ο server που θα φτιάχνει το κλειδι να είναι όσον το δυνατόν "αόρατος")

Επεξ/σία 5 Απριλίου 2020 από masteripper

[Kercyn]

Αυτό το κλειδί τι ακριβώς είναι; Πώς χρησιμοποιείται; Μήπως να αφήσει τα δήθεν prestige και να κοιτάξει πρώτα την ασφάλεια; Στην τελική αν το κλειδί αυτό χρησιμοποιείται σαν κωδικός πρόσβασης, θα μπορούσε να το κάνει share από κάποιον password manager ή να τον στείλει με SMS.

Επεξ/σία 5 Απριλίου 2020 από Kercyn

[masteripper]

Συνοδεύεται και απο καινούργια έκδοση απο .dll ...το ξέχασα..ειδάλλως και εγώ σε SMS θα το έκανα.

[dovecotDev]

Καλησπέρα,

Εγώ προτείνω ένα ξεχωριστό και οικονομικό cloud-based VM (linode, digitalocean, AWS, azure, κλπ). Το οποίο θα επικοινωνεί με ένα REST API με την ‘μαμά’ εφαρμογή, με TLS authentication.

Δεν προτείνω την επικοινωνία με email γατί δεν είναι αξιόπιστη για τέτοια δουλειά, χαμένα email, bounced email, block lists και διάφορα άλλα προβλήματα.
 

[masteripper]

6 λεπτά πριν, dovecotDev είπε

Καλησπέρα,

Εγώ προτείνω ένα ξεχωριστό και οικονομικό cloud-based VM (linode, digitalocean, AWS, azure, κλπ). Το οποίο θα επικοινωνεί με ένα REST API με την ‘μαμά’ εφαρμογή, με TLS authentication.

Δεν προτείνω την επικοινωνία με email γατί δεν είναι αξιόπιστη για τέτοια δουλειά, χαμένα email, bounced email, block lists και διάφορα άλλα προβλήματα.
 

Σε αυτό με τα χαμένα emails κτλ δίκιο έχεις αλλά θα έχει πολύ μικρό όγκο οπότε γιαυτό το έβαλα σαν πρόταση...και είναι και πιο εύκολο διαχειρίσιμο.

Πάντως σαν σκεπτικό δεν είμαι πολύ λάθος ...πως το κόβεις...?

Επεξ/σία 5 Απριλίου 2020 από masteripper

[dovecotDev]

Η χρήση email για τέτοια δουλειά θεωρώ πως είναι λάθος. Περισσότερα προβλήματα θα δημιουργήσει. Για παράδειγμα, θα πρέπει να κάνεις parse το περιεχόμενο του email (regex κλπ), κάτι που δεν θα έπρεπε να κάνεις. Η λύση που πρότεινα παραπάνω έχει σωστό TLS authentication, κάτι που δεν έχει το email.

Υπάρχουν και ποιο έξαλλες λύσεις, όπως RabbitMQ.
 

Επεξ/σία 6 Απριλίου 2020 από dovecotDev

[stefanos90_K]

Μη περιπλέκεις τα πράγματα με email και τα σχετικά... 
Όπως αναφέρθηκε, ο σέρβερ που φτιαχνει το κλειδί πρέπει να έχει ένα API το οποίο θα απαντάει σε authenticated clients. Αρκετά απλή εφαρμογή σε PHP ή python ας πούμε.