Сообщество
FAQ
Логин
Пароль
Войти при помощи
Кстати, вы можете

Вышел release 1.01

Admin
22 января 2009 23:27
Вышла первая версия программы. Пока здесь будем размещать "сырую" информацию о программе, которую позже оформим в виде FAQ.

-------------------

Нюансы синхронизация с сервером:
1. Когда выбран тип синхронизации "Сайт буфер", обратно переключиться на "Полная синхронизация" нельзя. Вся информация с клиента попасть на сервер не сможет. Если при этом полностью переустановить программу - произойдёт ошибка синхронизации, т.к. сервер сам запоминает тип синхронизации.. в этом случае нужно обратиться в службу поддержки, для возобновления работы.
2. В однопользовательском и многопользовательском режиме (нес-ко членов семьи) синхронизация возможна только когда программа работает на одном компьютере, и под одной учётной записью windows. Установка программы на другой компьютер или в другую учётную запись windows, приведёт к ошибке синхронизации.
3. В случае конфликта синхронизации, возможно выкачать всё с сервера заново, но нельзя наоборот, закачать всё с клиента на сервер.
4. Если обновить одну и ту же запись на клиенте и сервере одновременно, то ошибки синхронизации не будет, но на сервер попадут клиентские изменения, а на клиента - серверные. При этом произойдёт логическая рассинхронизация данных.
5. Не синхронизируются планы бюджета и тэги (категорий расходов и т.д.). Их нужно создавать на клиенте вручную.

-------------------

Баг - для тех, у кого браузер IE6, селекторы перекрывают всплывающие окна (хелпы, настройки).

-------------------

Для чего программа может обращаться в сеть?
1. В момент первой авторизации пользователя в программе (члена семьи). Авторизация происходит на сервере, а потом запоминается на клиенте.
2. В момент первого старта, после успешной авторизации, автоматически происходит первая обязательная синхронизация с сервером, без которой работа программы невозможна.
3. Если включена синхронизация с сервером в настройках, то программа будет обращаться к серверу за синхронизацией:
3.1 При старте
3.2 Через 2 минуты после ввода последней траты
3.3 В случае если пользователь сам кликнул по ссылке "синхронизировать"
4. Если есть хоть одна валюта, у которой в настройках включено автообновление курсов, программа будет обращаться к серверу через 5 сек. после старта, за курсами валют.
5. Если включено автообновление программы, программа будет обращаться к серверу за обновлениями, через 10 сек. после старта.
6. В случае критической ошибки в программе, она перезапускается и при этом пытается отправить на сервер техническую информацию об ошибке, что бы её можно было оперативно исправить.
Кирилл
23 января 2009 09:18
смотриться приятно программа) только наверное использовать не буду ее) более того, придется удалить эту программу с рабочего компьютера, так как уж очень неудачно у вас храняться там пароли. это всетаки секьюрная информация. зачем так топорно это хранить в бд? я бы призвал вас более ответственно относиться к личным данным, которые пользователи вам предоставляют.

это касается и онлайн сервиса, будет очень обидно линчо для меня, если у вас такая же структура БД и на сервере.
Кирилл
23 января 2009 09:38
и отправка пароля при его смене, не обязательная процедура. лучше от нее отказаться. если кому-то нужен будет пароль, он его восстановит с помощью специальной процедуры "забыл пароль". да и то, лучше формировать ссылку для восстановления и отправлять ее на почту, ограничивая время действия подобной ссылки каким-либо интервалом. не высылая самого пароля.

высылка паролей на почту - это зло. и дурной тон.

вобщем я думаю вам стоит в ваш тудулист добавить пункт "провести аудит информационной безопасности у специалистов". или самим, если у вас нет такой возможности занться вопросами безопасности.
Кирилл
23 января 2009 10:01
и еще.

ссылка в напоминалке, которая используется для перехода на сайт действует аж в течении целой недели. использование таких вещей в публичных местах очень небезопасно. любой кто имеет доступ к хистори броузера может спокойно войти и поудалать, подобавлять, почитать)))

самый оптимальный на мой взляд вариант быстрого внесения трат такой и с точки зрения удобства и безопасности.
формирование ссылки на страницу, которая имеет параллельную аутентификацию в системе, т.е. с помощью нельзя получить нормальный вход на сервис (для этого все равно надо ввести пароль), а можно зафиксировать только одну трату, на которую ссылка и пришла. причем на емэйл можно выслать детали траты и ссылку в письме называть "внести". и при переходе по ссылки в случае успешного добавления траты, пользователю выводилось бы сообщение, трата такая-то внесена. ну и ссылка там для нормального входа в систему.

А для того, что есть сейчас, по быстрому хотябы написать в письме:
Внимание! Любой человек перешедший по данной ссылке будет иметь доступ к вашему экаунту на дребеденьги.ру) в течении недели) Имейте ввиду, что использование данной ссылки не на вашем личном комьпютере, небезопасно.
Николай
23 января 2009 10:11
Да уж... Защита превыше всего, можно еще вспомнить что при запросе на почту приходит пароль в открытом виде, а это значит что в базе он хранится в открытом виде... :(
Admin
23 января 2009 11:44
Нет, в базе пароль зашифрован, и мы его не можем расшифровать, именно поэтому он меняется при восстановлении, иначе б высылался прежний. К тому же, на почту высылается лишь временный пароль, подразумевается, что пользователь зайдёт в личный кабинет и его сменит сам.

Насчёт хранения пароля в локальной БД. Кирилл, ваши опасения понятны, проработаем этот вопрос более детально. Сейчас просто основной акцент сделан на то, что программа будет ставиться на домашний компьютер, где эти проблемы не так актуальны, т.к. по сети данные ходят зашифрованные (SSL) и получить доступ в систему можно только получив доступ к локальному компьютеру. А если получен такой доступ, то это уже проблема более высокого порядка.. с таким доступом можно сделать всё.

Насчёт ссылки из напоминалки. Спасибо за замечания!
Кирилл
23 января 2009 14:38
я зашел в личный кабинет, поменял пароль и мне пришел новый пароль на почту.

ну просто у вас там не просто храниться пароль, а вроде храняться все пароли семейства. а на домашнем компьютере не каждому понравить, если его пароль узнает жена-ребенок-тп.... и следует помнить, что чаще всего юзеры используют пароль одинаковый в разных системах. а под виндой как известно, защита на уровне файловой системы минимальная. ну и вообщем нету здравых оправданий хранения пароля в таком виде.

я понимаю, что вам нужен этот пароль, чтобы аутентифицировать на веб-сервере, но просто можно генерировать ключ для доступа на веб-сервер при первой синхронизации, достаточно надежный и с помощью него уже аутентифицироваться на веб-сервере в дальнейшем (можно его даже менять переодически, например при смене пользователем пароля в веб-интерфейсе), а введенный пользователем первый раз пароль, хранить как результат хэшфункции ну или другими надежными способами.
Кирилл
23 января 2009 14:40
так же мне не понятно, откуда там в системе взялся пароль моей второй половины, если я его нигде не вводил, если вы утверждаете, что у вас храниться все пароли в зашифрованном виде.
Кирилл
23 января 2009 14:46
сорри, за прошлый коммент. мозг дал небольшую трещинку. храняться только пароли тех кто логинился в программу.
Admin
23 января 2009 15:11
Кирилл, вы всё правильно говорите. Локальный пароль закодируем в следующих версиях.
webcrew
23 января 2009 20:00
Свои 5 копеек
1. IE это конечно хорошо - но медлееенно... скролл даже с тормозами
2. Настройки программы крайне незаметны - их бы на видное место...
3. Сделайте вызов дефолтного браузера при нажатии на внешние ссылки в программе, а не IE
Admin
23 января 2009 20:36
webcrew, спасибо, возьмём на заметку.
webcrew
8 марта 2009 20:00
webcrew Пишет:
Сделайте вызов дефолтного браузера при нажатии на внешние ссылки в программе, а не IE
А воз и ныне там :)
Admin
8 марта 2009 20:52
Увы да, пока не знаем как это сделать.
Чтобы отвечать на сообщения - зарегистрируйтесь и войдите в личный кабинет.
© drebedengi.ru 2007 - 2017  |  Мобильная версия  |  Карта сайта  |  API интеграции  |  Обратная связь  |   English