הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 2 מתוך 3 1 2 3
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   התחברות בעזרת אייפי,מה דעתכם? (https://hosts.co.il/forums/showthread.php?t=70454)

ASTeam 23-12-08 12:13
מיותר..
אם מימלא תצטרך לבדוק קוקיז אז מה הקטע? תבדוק רק קוקיז(בהצפנה...)
אם אתה מפחד שזה זמין(למרות שזה בהצפנה) תעבוד עם סיישן.
או שילוב של שניהם.
לא צריך יותר מזה למה שביקשת(אפשר עוד בעזרת תוכנה שתיהיה במחשב + ההתחברות שרק ככה זה יעבוד(את נותן ללקוח תוכנה מסויימת עם פרטים של הלקוח, כאשר הוא מתחבר היא תיהיה דרך התוכנה בלבד(שאמרוה להיות מאור אישית...) ורק הפרטים + שילוב התוכנה יאפשרו כניסה + אימות..)

SniR-S 23-12-08 12:20
בת'כלס, זה בעיה, כי יש המון אנשים שה-IP שלהם משתנה והרבה.
לדוגמא אצלי, כל התנתקות והתחברות מהאינטרנט גורמת לשינוי של הכתובת IP..
ולכן זה לא הכי שימושי וטוב, יש יותר אנשים (המון מאוד) שהכתובת IP שלהם משתנה, ותחשוב
כשאתה עושה ריסטרט / מכבה את המחשב / מתנתק לך האינטרנט / אתה מתנתק בכוונה - זה לא יהיה שימושי
לגבי כל אותם האנשים האלו, בכל פעם הם יצטרכו להתחבר שוב מחדש !

אגב זה קצת לא הגיוני, אבל תחשוב שאם אני מתנתק מהאינטרנט והכתובת IP שלי עוברת למישהו אחר
שהוא גם נכנס לאתר שלך, אז הוא יהיה במשתמש שלי..

Erez | TrustMedia.co.il 23-12-08 12:46
אביחי:אם אני משתמש בסשיין אז זה יתנתק כל פעם שהוא ייצא מהאתר וזה בעיה
שילוב של שניהם נשמע רעיון טוב ואני ינסה לעשות משהו כזה.

שניר:כבר אמרתי את זה כמה פעמים,מוסיפים אימות עם קוקיז לבדוק אם זה המשתמש שהתחבר.
ובקשר לשינוי אייפי,אנשים נורמליים מתנתקים פעם בכמה שעות ולא כל 5 דקות ככה שזה לא ממש מפריע וזה עדיף על סשיין

Adir 23-12-08 13:03
ציטוט:
נכתב במקור על ידי ASTeam (פרסם 688264)
מיותר..
אם מימלא תצטרך לבדוק קוקיז אז מה הקטע? תבדוק רק קוקיז(בהצפנה...)
אם אתה מפחד שזה זמין(למרות שזה בהצפנה) תעבוד עם סיישן.
או שילוב של שניהם.
לא צריך יותר מזה למה שביקשת(אפשר עוד בעזרת תוכנה שתיהיה במחשב + ההתחברות שרק ככה זה יעבוד(את נותן ללקוח תוכנה מסויימת עם פרטים של הלקוח, כאשר הוא מתחבר היא תיהיה דרך התוכנה בלבד(שאמרוה להיות מאור אישית...) ורק הפרטים + שילוב התוכנה יאפשרו כניסה + אימות..)

לידיעתך אפשר לערוך גם Sessions...
יש לי תוסף בFF, אפשר לערוך דרכו קוקיס וסיישנים

ASTeam 23-12-08 14:52
אשמח שתביא לי אותו
לפי מה שידוע לי מה שאתה כן יכול לשנות זה את session id שנשמר אצלך. הסיישן עצמו שמור על השרת.
ארז - הסיישן עצמו נשמר לתקופה מוגבלת שאתה בוחר(הברירת מחדל קבועה בקובץ ההגדרות של PHP) ומה שימחק זה הקוקיז שגם נקבע על ידך.
{וכן כמו שאמרו במקרה הקיצוני הIP יכול להתחלף בין משתמשים...)

Adir 23-12-08 15:16
ציטוט:
נכתב במקור על ידי ASTeam (פרסם 688288)
אשמח שתביא לי אותו
לפי מה שידוע לי מה שאתה כן יכול לשנות זה את session id שנשמר אצלך. הסיישן עצמו שמור על השרת.
ארז - הסיישן עצמו נשמר לתקופה מוגבלת שאתה בוחר(הברירת מחדל קבועה בקובץ ההגדרות של PHP) ומה שימחק זה הקוקיז שגם נקבע על ידך.
{וכן כמו שאמרו במקרה הקיצוני הIP יכול להתחלף בין משתמשים...)
https://addons.mozilla.org/he/firefox/addon/573

שים לב בתיאור:
ציטוט:
Cookie Editor that allows you add and edit "session" and saved cookies

בניה 23-12-08 19:45
לדעתי הדבר הכי חכם לעשות זה כזה דבר:
בטבלת המשתמשים אתה מוסיף תא שקוראים לו login_hash
כשמשתמש מתחבר בפעם הראשונה,אתה יוצר ערך רנדומאלי,שומר אותו בlogin_hash ומכניס למשתמש אותו בעוגיה.
ואיתו אתה מזהה אם המשתמש מחובר ואיזה משתמש זה.
אם המשתמש מתנתק,אתה מרוקן את התא login_hash במסד נתונים ואם הוא יתחבר שוב תיצור כזה חדש וכן הלאה.
מה שזה נותן זה שאם מישהו מתנתק במקום אחד,זה מנתק אותו בכל מקום שהוא מחובר.
וגם אם מישהו גנב את העוגיה שלו,ברגע שהוא מתנתק העוגיה הופכת להיות חסרת ערך.

Deagly 23-12-08 20:28
ציטוט:
נכתב במקור על ידי בניה (פרסם 688346)
לדעתי הדבר הכי חכם לעשות זה כזה דבר:
בטבלת המשתמשים אתה מוסיף תא שקוראים לו login_hash
כשמשתמש מתחבר בפעם הראשונה,אתה יוצר ערך רנדומאלי,שומר אותו בlogin_hash ומכניס למשתמש אותו בעוגיה.
ואיתו אתה מזהה אם המשתמש מחובר ואיזה משתמש זה.
אם המשתמש מתנתק,אתה מרוקן את התא login_hash במסד נתונים ואם הוא יתחבר שוב תיצור כזה חדש וכן הלאה.
מה שזה נותן זה שאם מישהו מתנתק במקום אחד,זה מנתק אותו בכל מקום שהוא מחובר.
וגם אם מישהו גנב את העוגיה שלו,ברגע שהוא מתנתק העוגיה הופכת להיות חסרת ערך.
יש בזה גם בעיה..
תחשוב מישהו יודע את השם משתמש וסיסמא שלך,
ברגע שהוא התחבר, זה יוצא מזהה LOGIN_HASH חדש,
ואז אותו משתמש אמיתי שמחובר כבר זה מנתק אותו..

Erez | TrustMedia.co.il 23-12-08 20:34
ציטוט:
נכתב במקור על ידי בניה (פרסם 688346)
לדעתי הדבר הכי חכם לעשות זה כזה דבר:
בטבלת המשתמשים אתה מוסיף תא שקוראים לו login_hash
כשמשתמש מתחבר בפעם הראשונה,אתה יוצר ערך רנדומאלי,שומר אותו בlogin_hash ומכניס למשתמש אותו בעוגיה.
ואיתו אתה מזהה אם המשתמש מחובר ואיזה משתמש זה.
אם המשתמש מתנתק,אתה מרוקן את התא login_hash במסד נתונים ואם הוא יתחבר שוב תיצור כזה חדש וכן הלאה.
מה שזה נותן זה שאם מישהו מתנתק במקום אחד,זה מנתק אותו בכל מקום שהוא מחובר.
וגם אם מישהו גנב את העוגיה שלו,ברגע שהוא מתנתק העוגיה הופכת להיות חסרת ערך.
רעיון יפה
תודה לך

בניה 23-12-08 20:43
ציטוט:
נכתב במקור על ידי Deagly (פרסם 688353)
יש בזה גם בעיה..
תחשוב מישהו יודע את השם משתמש וסיסמא שלך,
ברגע שהוא התחבר, זה יוצא מזהה LOGIN_HASH חדש,
ואז אותו משתמש אמיתי שמחובר כבר זה מנתק אותו..
לא,רק אם המשתמש ההוא יתחבר ויתנתק זה ינתק את המשתמש המקורי.
ואם מישהו כבר גילה את השם משתמש והסיסמא שלך ז"א החשבון שלך כבר נפרץ לגמרי.
מה שאנחנו מנסים לאבטח פה בצורה מקסימלית זה את העוגיות.
אם מישהו ישיג את השם משתמש והסיסמא בצורה אחרת זה כבר בעיה אחרת.


כל הזמנים הם GMT +2. הזמן כעת הוא 04:16.
עמוד 2 מתוך 3 1 2 3
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ