|
ציטוט:
ד"א: ההודעה שלך הייתה די ילדותית בן כמה אתה? |
אם היית ממציא שיטת אבטחה חדשה לא הייתי בפורום הזה.
|
אני לא חושב שיש סיבה כלשהיא לזלזל בך,
מצד שני.. דברים שנאמרו כאן הם דיי נכונים - אתה מבקש שנעריך עבורך משהו.. שגם אתה לא יודע עד כמה הוא תקף. פיתחת מוצר שמיועד לתת הגנה משופרת: 1. האם בוצעה בדיקת חדירות למוצר ע"י מומחים בנושא? 2. למי מיועד המוצר? עד כמה הוא קל להתמעה? 3. בראשי פרקים - מהי השיטה? הרי אתה מעוניין למכור אותה לאנשים.. אף אחד לא יקנה חתול בשק - אתה היית קונה? |
ממ הבעיה הזאת כבר נפתרה...
כבר שנים שמערכות גדולות משתמשים ב token authentication http://www.w3.org/2001/sw/Europe/eve...uthentication/ זאת דוגמא קלאסית מה שיש בלינק במיוחד הפסקה The general concept behind a token-based authentication system is simple. Allow users to enter their username and password in order to obtain a token which allows them to fetch a specific resource - without using their username and password. Once their to ken has been obtained, the user can offer the token - which offers access to a specific resource for a time period - to the remote site. Using some form of authentication: a header, GET or POST request, or a cookie of some kind, the site can then determin e what level of access the request in question should be afforded. The type of changes this type of authentication requires is obviously dependent on the current implementation of your site. Example code I might be able to write in Perl or PHP would not only be language and implementation specific, it would also be appli cation specific. However, some general principles should be considered in both the creation of a process to obtain tokens and the process of using them. Simplicity for users, robustness for interoperability, and protection of user data are all important f or your application, and each can fall by the wayside in attempting to design a system which fits user expectations. |
אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה.
אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת. ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות]. בקיצור אל תעשה מעצמך צחוק. וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר. |
מידע שרוצים לשמור לא שמים על קבצי עוגיות .
|
ציטוט:
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם, עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי, חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך, בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא.. nitsanbn: אני לא מדבר על התחברות לפאנל אדמין. TelecarT: 1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת. 2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו. 3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID, בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים, השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה, חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות. שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות 8-) |
ציטוט:
אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE. הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית. |
ציטוט:
|
ציטוט:
|
| כל הזמנים הם GMT +2. הזמן כעת הוא 23:58. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ