URL-адрес https с параметром токена: насколько это безопасно?
Если вы хотите сначала вычислить средние значения , а затем усреднить их, вы можете использовать два уровня агрегирования:
SELECT ROUND(AVG(eFG), 3) as eFG,
ROUND(AVG(OPP_eFG), 3) as OPP_eFG,
ROUND(AVG(TOV_PCT), 3) as TOV_PCT,
ROUND(AVG(OPP_TOV_PCT), 3) as OPP_TOV_PCT,
ROUND(AVG(ORB_PCT), 3) as ORB_PCT,
ROUND(AVG(DRB_PCT), 3) as DRB_PCT,
ROUND(AVG(FTA_RATE), 3) as FTA_RATE,
ROUND(AVG(OPP_FTA_RATE), 3) as OPP_FTA_RATE
FROM (SELECT bs.team_name,
AVG(eFG) as eFG,
AVG(OPP_eFG) as OPP_eFG,
AVG(TOV_PCT) as TOV_PCT,
AVG(OPP_TOV_PCT) as OPP_TOV_PCT,
AVG(ORB_PCT) as ORB_PCT,
AVG(DRB_PCT) as DRB_PCT,
AVG(FTA_RATE) as FTA_RATE,
AVG(OPP_FTA_RATE) as OPP_FTA_RATE
FROM box_score bs
WHERE game_date < '2019-03-07' AND
( (team_name = 'Miami Heat' AND WIN_LOSS = 'W') OR
(team_name = 'New York Knicks' AND WIN_LOSS = 'L')
)
) bs
9 ответов
SSL защитит параметры запроса в пути; однако, сама электронная почта не безопасна, и электронная почта могла возвратиться вдоль любого количества серверов прежде, чем добраться до его места назначения.
Также в зависимости от Вашего веб-сервера полный URL мог бы быть зарегистрирован его файлы журнала. В зависимости от того, насколько чувствительный данные - Вы, не мог бы хотеть Ваших людей IT, имеющих доступ ко всем маркерам.
Дополнительно URL со строкой запроса был бы сохранен в истории Вашего пользователя, позволив другим пользователям той же машины получить доступ к URL.
Наконец и что делает, это очень небезопасное, URL отправляется в заголовке Referer всех запросов на любой ресурс, даже сторонние ресурсы. Таким образом, если Ваш Google Analytics использования, например, Вы отправите Google маркер URL в и все им.
, По-моему, это - плохая идея.
Я использовал бы cookie для этого. Рабочий процесс должен быть похожим на это:
- Пользователь приезжает в Ваш сайт впервые.
- наборы Сайта пользователь cookie
- вводит данные. Данные хранятся в DB с помощью некоторого ключа, который хранится в cookie.
- , Когда пользователь уезжает, Вы посылаете им электронное письмо с https: ссылка
- , Когда пользователь возвращается, сайт, обнаруживает cookie и может подарить пользователю старые данные.
Теперь, пользователь хочет использовать другой браузер на другой машине. В этом случае предложите кнопку "передачи". Когда пользователь нажмет на эту кнопку, она получит "маркер". Она может использовать этот маркер на другом компьютере для сброса cookie. Таким образом, пользователь решают, как безопасный она хочет передать маркер.
SSL защищает содержание данных в пути, но я не уверен в URL.
Невнимательный, один способ смягчить взломщика, снова использующего тот маркер URL, состоит в том, чтобы удостовериться, что каждый маркер может только использоваться однажды. Вы могли даже установить cookie так, чтобы законный пользователь мог продолжить использовать ссылку, но после первого доступа она будет только работать на кого-то с cookie.
, Если электронная почта пользователя поставлена под угрозу и взломщик получает ссылку сначала, ну, в общем, Вы политы из шланга. Но у пользователя также есть большие проблемы.
Электронная почта по сути небезопасна. Если кто-либо может нажать на ту ссылку и добраться до данных, Вы действительно не защищаете его.
Хорошо маркер безопасен, будучи переданным через SSL. Проблема, которую Вы собираетесь иметь, состоит в том, что это avilable людям (те, которые это не предназначается для) способностью просмотреть URL.
, Если бы это - частная информация как SSN, я не думаю, что отправил бы URL по электронной почте. Я сделал бы, чтобы они создали имя пользователя и пароль для сайта. Слишком легко поставить под угрозу электронное письмо с такой информацией под угрозой для Вас и для них. Если чья-то учетная запись будет comprimised, то это войдет в quesion, отказ которого это действительно. Чем больше безопасное, тем лучше Вы от строго точка зрения CYA.
Как бы то ни было, это была бы плохая идея. Вы повысите безопасность благодаря простоте использования. Как было сказано ранее, SSL будет защищать только передачу информации между сервером и клиентским браузером и будет предотвращать только атаки среднего уровня. Электронные письма очень рискованны и небезопасны.
Лучшим вариантом будет аутентификация по имени пользователя и паролю для доступа к информации.
Мне более или менее нравится идея использования файлов cookie. Вы также должны зашифровать информацию о куки. Вы также должны сгенерировать токен с солью и ключевой фразой плюс $ _SERVER ['HTTP_USER_AGENT'], чтобы ограничить вероятность атаки. Храните как можно больше нечувствительной информации о клиенте в cookie для использования при проверке.
Ключевая фраза может быть сохранена в cookie для простоты использования, но имейте в виду, что cookie также можно украсть = (.
Лучше разрешите клиенту введите предоставленную им ключевую фразу, которая также хранится в базе данных вместе с его данными.
Или ключ можно использовать в случае, если человек использует другой компьютер, который отличается параметрами $ _SERVER ['HTTP_USER_AGENT'] или просто пропускает cookie. Таким образом, cookie может быть передан или установлен.
Также убедитесь, что конфиденциальные данные зашифрованы в базе данных. Вы никогда не знаете;)
Я действительно не был бы это считать это достаточно безопасным для ситуации, где существуют серьезные проблемы конфиденциальности. То, что Вы представляете URL (по-видимому, открытый текст) электронная почта, является безусловно самой слабой ссылкой. После этого риск атак перебором маркеров, которые (недостаток в структуре реального механизма аутентификации), вероятно, будут более уязвимыми, чем хорошо созданная установка имени пользователя и пароля.
нет никаких проблем вообще с параметрами в запросе HTTPS, случайно.
Из того, что я понимаю Вашей идеи, в теории кто-то мог ввести в случайных 40 символьных строках, или MD5 хешируют и получают кого-то детали elses. Пока это может быть очень маловероятно, это только должно произойти однажды.
А лучше soloution мог бы быть должен отправить пользователя, маркер тогда просит, чтобы они ввели некоторые детали, такие как их имя, почтовый индекс, ssn или комбинация их.
Вы знаете, что, если какой-либо хакер добирается, доступу к Вашей базе данных большая персональная информация можно свободно предоставить?
После этого я сказал бы, что это не плохо как идея. Я не использовал бы MD5 или SHA1, поскольку они не очень безопасны для хеширования. Они могут быть "дешифрованы" (я знаю, что это не шифрование), довольно легко.
Иначе я, возможно, использовал бы вторую информацию, которая не будет отправлена по электронной почте своего рода пароль. Причина довольно проста, если кто-то получит доступ к электронной почте пользователя (довольно легкий с hotmail, если Вы не уничтожите свою сессию), то у него будет доступ к любой информации, которую отправил пользователь.
Примечание, которое HTTPS защитит и данные склепа, отправленные от Вашего сайта конечному пользователю. Ничто иное, возьмите его в качестве безопасного туннеля. Ничто больше ничто меньше.