search

RebeccaFransson / Webscraping-second-javacript-course-1DV449

Webscraping and more javascript
0 stars 0 forks source link

Angående laboration 2 #2

Closed 1dv449 closed 8 years ago

1dv449 commented 8 years ago

Hej!

Jag har nu tittat på din laboration 2.

Säkerhetsdelen är till stora delar bra även om jag saknar CSRF. Jag ha rockså lite svårt att förstå resonenemanget kring "ändra sin kaka" och hur man skulle kunna göra det? Hitta ringen referens där heller. Du skriver att man borde spara all data i en server-cookie och inte i en client-cookie. Är det inet en sessions-cookie/server-cookie som används? Också lite tveksam till att bara använda SSL på inloggningen. All trafik efter inloggningen borde väl vara krypterad också för att det ska bli någon mening med det?

Prestandadelen är tunn och saknar i många delar referenser. Fokusera på optimeringsdelar och inte applikationsbuggar. Saknar också många punkter där. Din referenslista följer inte IEEE-systemet som hänvisades till i examinationshandledningen.

Komplettera:

Det finns ett delat dokument där man kan se de olika delar som skulle kunnat tas upp i rapporten. https://docs.google.com/document/d/1kYNrL64Od1go4z0_sZUyIG8eFAaeFcdp95MIHsRm65A/

RebeccaFransson commented 8 years ago

Hej, en uppdatering finns nu på github! :) Hoppas jag förstått dina instruktioner rätt denna gången!

Den 8 december 2015 17:32 skrev 1dv449 notifications@github.com:

Hej!

Jag har nu tittat på din laboration 2.

Säkerhetsdelen är till stora delar bra även om jag saknar CSRF. Jag ha rockså lite svårt att förstå resonenemanget kring "ändra sin kaka" och hur man skulle kunna göra det? Hitta ringen referens där heller. Du skriver att man borde spara all data i en server-cookie och inte i en client-cookie. Är det inet en sessions-cookie/server-cookie som används? Också lite tveksam till att bara använda SSL på inloggningen. All trafik efter inloggningen borde väl vara krypterad också för att det ska bli någon mening med det?

Prestandadelen är tunn och saknar i många delar referenser. Fokusera på optimeringsdelar och inte applikationsbuggar. Saknar också många punkter där. Din referenslista följer inte IEEE-systemet som hänvisades till i examinationshandledningen.

Komplettera:

  • Korrekt referenslista
  • Komplettera prestandadelen med att skriva om cache-headers, komprimering där du tar upp teori och referenser vart du hittat informationen
  • Kolla över första delen med kakorna som är lite svår att följa.

Det finns ett delat dokument där man kan se de olika delar som skulle kunnat tas upp i rapporten.

https://docs.google.com/document/d/1kYNrL64Od1go4z0_sZUyIG8eFAaeFcdp95MIHsRm65A/

— Reply to this email directly or view it on GitHub https://github.com/RebeccaFransson/rf222cz-1DV449-laborationer/issues/2.

1dv449 commented 8 years ago

"I denna applikationen kan användaren komma åt sin kaka och ändra den." Vad är det för problem med detta. En kaka sparas väl alltid hos användaren, i dess webbläsare, i detta fall är den ju en sessions-hash som är svår att gissa sig till vilket inte borde vara något problem? Att kakan inte förstörs vid utloggning är korrekt, att https inte används är en annan men hur är det kopplat till csrf och hur går en sådan attack till? Känns inte som du har riktigt grepp på vad CSRF är. "För att se till att en icke befogad användare inte skall kunna låtsas vara någon annan borde man skicka ett token med sin kaka." - Kan du utveckla detta? Brukar inte vara det sättet man löser csrf - Kolla upp "syncronized token pattern". Dela upp dessa och gör en mer korrekt beskrivning av CSRF så du vet hur du skyddar din projektapplikation.

Prestandakompletteringen är ok.

" Dock något oklara instruktioner till uppgiften!" Vad är oklart?

RebeccaFransson commented 8 years ago

Då gör vi ett nytt försök! Uppdatering utav rapporten är nu inlämnad. Jag såg att jag skrivit väldigt slarvigt och min text var svårförstådd. Hoppas denna texten är enklare att läsa och att jag förstått vad en CSRF-attack är. Jag känner mig mycket mer säker på teorin om säkerheten nu. Men sådana här rapporter är inte mitt starkaste sätt att uttrycka mig på, jag ber om ursäkt för det extra arbetet.

1dv449 commented 8 years ago

OK. stänger denna issue nu