среда, 10 июня 2009 г.

«à la desktop» интерфейс для веб-портала

Интерфейс сайта в виде рабочего стола. Видели? Нет. Тогда смотрите.

Получше рассмотреть, покликать можно здесь http://ibpro.com.ua/admin/ .
По-моему смотрится очень интересно.

Для сайтов контентного направления я бы не делала такой интерфейс. А вот, для корпоративного портала, основной целью которого является решение бизнес задач таких как:
  • размещение и скачивание документов
  • заполнение и просмотр отчетов
  • отслеживание логистических операций
  • размежение и подписка на мероприятия
  • ...
способ предоставления информации в виде десктопа мне кажется целесообразным.

В основном информация на портале отображается табличной форме или в виде списков. Страницы укомплектованы набором фильтров для поиска данных, ну и стандартными кнопками «добавить», «удалить», «сохранить», «скачать», «просмотреть»…

Вид «à la desktop» для портала видится мне примерно вот так.

Возникают вопросы:
  • Насколько удобен для пользователей такой интерфейс?
  • Какие преимущества он имеет по сравнению со стандартным стилем отображения в вебе?
  • Какие недостатки?
  • Не испугает ли он пользователей, все-таки непривычно? :)
Хотелось бы узнать мнения как специалистов в ИТ так и обычных пользователей Интернета.
Скажем, если бы Вы попали на такой портал, какой бы была Ваша реакция?

понедельник, 1 июня 2009 г.

Брутфорс атака

Брутфорс атаки являются самым легким но эфективным способом взлома. Суть атаки состоит в подборе паролей пользователей.
Эффективность такой атаки напрямую зависит от ленивости администраторов и пользователей.
Для проверки на наличие уязвимости к брутфорс атакам мы не будем перебирать пароли :) Это дело скучное, занимает много времени да и пользы нам от этого не много. Ведь подобрав пароль какого-то юзера, мы всего лишь докажем что это сделать возможно. А никто и не говорил, что это не возможно. Имея достаточное количество времени и ресурсов, можно подобрать всякий пароль.

Задача хорошо продуманной компьютерной системы - не дать пользователям создать пароль, который легко ломается. Например, Петя, 1234, pass.

Поетому, при тестировании нужно обратить внеимание на следующие моменты:
  • не рекомендуется длина пароля меньше 8-ми символов;
  • пароль должен содержать комбинацию букв, цифр и символов;
  • должно быть ограничение на кол-во попыток аутентификации за промежуток времени (например, не более 4-х раз в течении 1 минуты);
  • пароли должны храниться обязательно в зашифрованном виде;
  • пароли не должны передаваться методом GET;
  • при работе с важной информацией должна использоваться защищенная передача данных (https протокол).
Последние три пункта, вообще-то, не имеют отношения к защите от именно брутфорс атаки, но они важны для того, чтобы уберечь пароли пользователей от похищения из места хранения или при передаче.