הוסטס - פורום אחסון האתרים הגדול בישראל - מוכר| PacketSecurity

- מסחר - קניה/ מכירות שונות (לא הוסטינג) (https://hosts.co.il/forums/forumdisplay.php?f=12)

- - מוכר| PacketSecurity - מערכת אבטחה של המאה ה-22 :) (https://hosts.co.il/forums/showthread.php?t=93517)

ציטוט:

נכתב במקור על ידי Youtube4Down.com (פרסם 825502)

אפשר לזייף בקשה של דפדפן ממש בקלות. אין לך באמת דרך לדעת.

בוא אני יסביר את זה קצת יותר טוב - כשאתה נכנס לאתר אתה מקבל קוד שמשתנה כל מעבר לדף אחר, וכשאתה שולח תגובה הוא בודק את הקוד הזה ולא נותן לך למשל ללחוץ על F5 עוד פעם.

אי אפשר לזייף את זה, מה שכן אפשר להתחיל אותה מחדש - וזה כבר תלוי בשרת ולא באתר.

עוד פעם אני מפספס אותך Tomer,
בעיקרון אני לא יכול להגיד לך איך זה פועל מחשש שה"פטנט" הזה יגנב - אבל מצד שני אני ממש רוצה שידעו שהשיטה הזאתי גאונית.
שלח לי הודעה לפרטית ואני אסביר לך את אופן הביצוע.

ציטוט:

נכתב במקור על ידי abshipping (פרסם 825504)

מה ההבדל בין F5 (ריפרש) לבין לחיצה נוספת על הקישור "עמוד הבית" באתר שהקוד שלך מוצב בו?

ציטוט:

נכתב במקור על ידי Tomer (פרסם 825505)

מה ההבדל בין F5 (ריפרש) לבין לחיצה נוספת על הקישור "עמוד הבית" באתר שהקוד שלך מוצב בו?

שוב, בלבול נושאים.
אם אתה לוחץ מלא פעמים על כפתור הבית או על כפתור הF5 כאשר לא נשלחה שום בקשה - השרת צריך להתמודד עם ההתקפה הזאתי,
אם אתה לוחץ "שלח תגובה" - ולוחץ F5 הדפדפן שואל אותך אם לשלוח שוב את הבקשה, מכיר?!

Tomer - תוכל לאשר פה שזה בשיטה מתוחכמת וטיפה מתקדמת מעוד אבטחות אחרות?

הגבתי לך עליה בפרטי. אני לא חושב שהיא יוצאת דופן משאר השיטות שמשתמשים בהם. אני ארשום מה שרשמתי לך בפרטי - לדעתי, לא ניתן לחסום אתר שלם ע"י קובץ אחד שמאונקלד (include) בראש הדף ורץ משרת אחר.

משתמש שרוצה מערכת מאובטחת שלא ניתן יהיה לחדור אליה - שיתחיל לאבטח את הקלט שלו ואת השרת שלו.

ציטוט:

נכתב במקור על ידי Tomer (פרסם 825512)

הגבתי לך בשנית בפרטי :)
אתה חושב שהאבטחה לא מתוחכמת מספיק.

וכמובן שאני משתמש בבדיקה של md5 - כדי לגלות אם אתה לא זייפת בדף הראשון של העברת הנתונים לדף השני.

כמו שתומר אמר מתכנת אמיתי יודע שאי אפשר לאבטח אתר שלם דרך include אין שום קוד שעושה דבר כזה
לאבטח RSS ו SQLI זה אך ורק דרך הקוד עצמו ולא דרך דף חיצוני.

ציטוט:

נכתב במקור על ידי Skfir (פרסם 825515)

עסקתי למעלה מ-7 שנים באבטחת מידע - אתה לא ראית את הקודים שלי אז אתה לא יודע על מה אני מדבר.

מה זה לאבטח RSS???!?!?!
אתה מתכנת באמת [?]

כל הבקשות לשרת שלי יעברו דרך השרת שלך? לחלופין, על כל בקשה לדף אצלי קודם תעשה בקשה לשרת שלך?
רק מלשמוע את זה הייתי בורח.

ציטוט:

נכתב במקור על ידי בניה (פרסם 825518)

נכון,
אבטחה אמיתית היא אבטחה שאתה בטוח שהמידע המועבר בשרת נעבר רק ע"י השרת ולא ע"י גורם שלישי.
חיסרונות - איטיות, על סמך האחסון שהבחור יספק, אתם תוסיפו גם את הזמן תגובה של האחסון שלו ושלכם.
חור אבטחה אחד גדול במידה ועשיתם אינקלוד לקובץ אחר תגידו לי מה הבעיה שלו להזריק אל תוך האחסון קובץ שאלל כלשהוא?.
וכמו שהבחור מעלי אמר וכבר ציינתי זה יהיה באותה שיטה כמו MITM שנחשבת כיום למתקפה בין המסוכנות שקיימות.

לפותח האשכול - אני לא יודע מה הכוונה שלך,
בין אם היית תמים ובין אם לא.
דבר כזה לא מוכרים!
מערכת אבטחה תשב אך ורק על השרת שלי,
במידה ולא תהיה בטוח שאתה מוכר כאן לאנשים חתול בשק(בין אם רצית בכך ובין אם לא).
אפילו אם אותם בחורים סומכים עליך וחתמתם על חוזה אז מה יקרה אם האחסון שיש בידך יפול לידיים זדוניות? חשבת על זה?
תחשוב על כל התוצאות נשמה..
אני גם בניתי מערכת אבטחה ותימכרתי אותה אבל לא עבדתי בצורה שלך.
שאתה מוכר אבטחה תמכור את כולה ולא חלקית.

אני מקווה שתבין את הטעויות שלך אבל בעל אתר,עסק או כל אתם שיקנה ממך את המערכת לא ירשה לכזה דבר.

לילה טוב,
איציק.