freepascal.ru

Делаем небольшую программку-клиент.
Хочется добавить возможность запоминать пароль, чтобы каждый раз не вводить.

Куда лучше спрятать?

закриптовать пароль и положить рядом с программой в виде какого-нить ресурса

shade писал(а):Хочется добавить возможность запоминать пароль, чтобы каждый раз не вводить.

Для себя или для конечного оператора?
если для конечного оператора - то могу за это и побить...

Вот к примеру svn запоминает пароли.. и разработчиков вроде не бьют.

Это для клиента к Шаманграду. Сейчас одну тулзу делаем для планирования разработки.

типа макет:


типа черновой вариант:

(черновой вариант, не обращайте внимание на явные ляпы в дизайне)

svn - довольно специфичный инструмент... Там разве что пароль администратора репозитария имеет какую-то ценность с точки зрения злоумышленника.
Аська вот тоже сохраняет пароли, и на их кражу нацелен почти что каждый второй троян.

svn - довольно специфичный инструмент...

у меня тоже немного специфичный

Аська вот тоже сохраняет пароли, и на их кражу нацелен почти что каждый второй троян.

И несмотря на это всё-таки сохраняют.
Если пароли сохраняют, значит это кому-нибудь нужно

ЛУчше тогда делай привязку к IP клиента или кук какой либо - сам факт сохранения пароля лишает этот пароль смысла.

alexs писал(а):ЛУчше тогда делай привязку к IP клиента или кук какой либо - сам факт сохранения пароля лишает этот пароль смысла.

Оно, конечно, хорошо было бы так поступать. Но вот базе Firebird, к примеру, нужно что-то в поле пароля передать, и это что-то должно - вот засада - совпадать с тем паролем, который ранее задал администратор, иначе хрен подключишься.

Можно попробовать копнуть в сторону Protected Storage на Windows и всяких gnome-keyring на Linux...

а может что-то вроде при подключение получаем ГУИД сесии. он сохроняется на сервере. и на клиенте.
при повторном подключении передаем гуид и если такой есть, то разрешаем работать и выдаем новый.

ЗЫ правда если работать с 2х мест то такое не поможет.

ЗЫЫ ну и проверять если пришло с одного ИПА пару неправельных гуида то блокировать его на сутки.

как доп вариант хранить пароль локально, но шифровать его с помощью гуида который хранится на сервере.

IP может меняться, лично у меня меняется при каждом подключении.

Вот если б сделать привязку к компу. Типа генерируется какой-то хеш, отравляется на сервер с логином/паролем возвращается ключ. Дальше для авторизации использовать пару хеш/ключ. Для работы с нескольких мест, на сервере можно хранить несколько хешей/ключей.

Но как конкретно сделать не знаю. Не знаю даже к каким параметрам компа можно привязаться.

Добавлено спустя 12 минут 40 секунд:
Кстати тулза практически готова.
Сайт обновить не успели (там остались недоделанные фишки), но можно тестировать на девелоперской зоне dev.shamangrad.net

Кому интересно, приглашаю к тестированию (пишите в личку, дам пароли).



Писали на лазарус, работает под Linux/Windows

svn: http://svn.shamangrad.net/pms/ScheduleManager
Требования и зависимости: http://svn.shamangrad.net/pms/trunc/rpc ... ments.html
Методика работы: http://russian.joelonsoftware.com/Artic ... dules.html

shade писал(а):Но как конкретно сделать не знаю. Не знаю даже к каким параметрам компа можно привязаться.

ну обычно любят к винту привязываться.