Предисловие

На Хабре была статья о создании Qt приложения на C++, но не было примера для Java. Я решил потратить 10 минут свободного времени и написать наипростейшее приложение. Меня интересовало:

• Создание визуальной части
• Использование слотов и сигналов

Под катом краткое описание того, что у меня получилось.

У знакомой есть фирма, у фирмы есть сайт. Вчера при поиске в Яндексе, знакомая обнаружила, что в выдаче под ссылкой на них «прилип» чужой телефон.

Немного разобравшись, нашел почему:
Ребята из «конкурирующей» фирмы отметили себя на Яндекс Картах и вписали чужой веб адрес. Фирма моей знакомой на карте отмечена не была.

Замечание: ни я, ни моя знакомая Яндекс не виним. Этот пост ни в коем разе не говорит что Яндекс работает плохо.

Так возникает два вопроса:

• 1. Как сделать правильную привязку телефона и фирмы в выдаче яндекса?
• 2. Как защитить себя в дальнейшем?

Данный вопрос очень важен, ибо теряются клиенты.

Зарание спасибо за ответы и помощь!

UPD: забыл сказать, что через форму обратной связи Яндексу сообщили о несоответсвии. Знакомая также звонила в представительство Яндекса в нашем городе.

Два дня (первый и второй) были теоретическим введением.
Пришло время увидеть, как всё это на практике.

Прошлая неделя началась с митингов по планированию фич. Закончилась непосредственно работой.

День первый

На второй день у нас был семинар посвященный SCRUM и Agile project. На нем рассказывали практическое применение Agile project при разработке ПО.

Командировка — это всегда что то новое. В этот раз я буду постигать науку быстро и хорошо работать. Учителя шведы.

Кратко суть: «Think better — write faster». Очень хорошо подходит для небольших команд.

Задача: необходимо организовать быстрый и удобный способ получения объектов и их параметров от Java Web приложения.

Немного о самой задачи.

Я пишу движок браузерной РПГ. Вся игровая логика (переходы между локациями, покупка вещей и т.п.) обслуживает Tomcat 6. Страничка запрашивает JSON объект, сервер обрабатывает запрос, и отдает результат. В начале у меня на каждую группу действий был отдельный сервлет, было много кода и дупликаций. Вобщем, мне не нравилось.

Задача: сделать достаточно защищенный механизм аутентификации на PHP.

Способ 1.
В форму передается случайная последовательность, на стороне сервера она запоминается в таблице в связке SESSION_ID && S_KEY. На стороне клиента выполняется преобразование вида
sha1(sha1(password) + S_KEY). sha1(password) — предпологаемый хэш пароля в базе, S_KEY — переданная последовательность. В результате мы имеем постоянно меняющийся хэш, который безопасно передать на сервер.
На сервере полученный хэш сравнивают с sha1(password_from_db + S_KEY). Если совпадает, в переменную $_SESSION['user'] заносим подгруженный инстанс класса пользователя.

Тут все хорошо и правильно, но не совсем секурно.

Что может сделать злоумышленник?
1. Украсть кукизы с сессией.
2. Перехватить трафик и снова украсть сессию.

Что нам нужно?
Мы должны быть уверены в том, что сессия жостко привязана к пользвателю на другой стороне.

IP — не выход, его можно подменить. Да и для людей, сидящих за NAT, IP будет общий.

Что же делать?
Использовать удалённый порт. Как правило браузер не меняет порт для сайта, и он долго остается неизменным. NAT тоже не меняет порт, потому что он ему нужен для проброса пакетов.

Замечание: данный метод применим только к критически важным участкам системы. Для пользователя хватит и Способа 1. Все потому, что никто не гарантирует статичность порта на всю сессию, а это повлечет постоянные ре-логины, что пользователь просто не моймёт.