הוסטס - פורום אחסון האתרים הגדול בישראל

עמוד 2 מתוך 3

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - סימן זיהוי למשתמש (https://hosts.co.il/forums/showthread.php?t=98924)

IgalSt

28-07-12 18:48

ציטוט:

נכתב במקור על ידי xPerfection (פרסם 852626)

אם יש משהו שאולי יעזור לך, זה כנראה יהיה -
http://samy.pl/evercookie

אכן אחד הפתרונות היותר טובים שיש כיום.

משהו נוסף מעניין לציין בנושא זיהוי משתמשים ללא מערכת משתמשים:
אפשר לבצע זיהוי מאוד ייחודי של משתמש על סמך ה-user agent שלו.
יש פה אתר מעניין שמתאר כמה ייחודי ה-user agent של הגולש בו - http://panopticlick.eff.org/

ועוד פוסט מעניין מ-SO שדן בסוגיה הזאת בדיוק

WCMS	28-07-12 18:53

למשל אם אתה עושה לפי כתובת האיפי, אני לדוגמא לקוח של גולן טלקום, האיפי כל שניה מתחלף... (אפילו לאתר של הבנק אני לא יכול להתחבר בגלל זה)

BuildDream

28-07-12 19:03

ציטוט:

נכתב במקור על ידי WCMS (פרסם 852634)

האמת שזה גם בעיה הפוכה - שיש יותר ממשתמש אחד על אותו הIP

אין זיהוי וודאי ותמיד יהיה אפשר לזייף, אבל יש דרך באינטרנט אקספלורר אפשר לזהות גולש לפי Mac וזאת שיטת זיהוי מאוד חזקה, הבעיה שזה דורש אישור של ActiveX ולא תומך בדפדפנים אחרים חוץ מאקספלורר.

השיטה הכי יעילה בשבילך היא ever cookie ששמו פה... זה כולל עוגיית פלאש, וכשמוחקים עוגיות מהדפדפן זה לא מוחק עוגיות פלאש - מעטים האנשים שמוחקים אותן וככה כמעט ולא יעקפו לך את המנגנון הזה.

itayS

28-07-12 19:59

מדהים לראות את הידע פה.
ידוע שכמעט כל מערכת אפשר לפרוץ ולהשתמש בא בזדון,
האם גם פה, בever cookie,יהיה אפשר לפרוץ למערכת?לעשות משהו זדוני?

אדיר	28-07-12 20:14

באמצעות evercookie כשלעצמו לא ניתן "לפרוץ" למערכת.
האם ניתן יהיה "לפרוץ" למערכת באמצעות המידע שתקבל מהמנגנון הזה? זה תלוי בצורה שתעבוד איתו ובמה שתעשה בו.

לכל קלט שמתקבל מהמשתמש לרבות הקלט המתקבל מהמנגנון הזה (שהמנגנון למעשה מקבל אותו מהמשתמש) יש להתייחס בחשדנות ולבצע בו בדיקות וסינונים רלוונטים.

BuildDream

28-07-12 20:52

מה שever cookie עושה זה לשמור את העוגיה בהמון דרכים שונות (עוגיית פלאש, local storage, עוגיה רגילה, עוגיית Silverlight ועוד.. אפשר למצוא רשימה מלאה באתר שלהם)

ואז אם תמחק עוגיות מהדפדפן אבל לא תמחק עוגיות פלאש - בפעם הבאה שתכנס לאתר הוא יזהה שמחקת את העוגיות הרגילות (הוא יזהה אותך לפי העוגיית לפלאש למשל) ויצור מחדש את העוגיות שמחקת

אם תמחק את כל סוגי העוגיות, הchache, היסטוריה וכו' שever cookie משתמש בו ותשנה אייפי - האתר לא יזהה אותך

מבחינת אבטחת מידע זה זהה לשימוש בעוגיה רגילה, אם תעשה בזה שימוש נכון לא יהיו בזה חורי אבטחה :)

איציק ברבי

28-07-12 21:01

האמין ביותר הוא כתובת פיזית(MAC) אבל לWEB אין גישה לקרוא אותו.
כמו שחבריי אמרו כאן במקרה הזה מערכת משתמשים היא הפתרון הכי אמין שיכול להיות לך.

BuildDream

28-07-12 21:22

ציטוט:

נכתב במקור על ידי איציק ברבי (פרסם 852657)

אפשר לקרוא אותו באקספלורר (דורש אישור ActiveX)

ואני חושב שיש אפשרות גם עם Java (זה אני כבר ממש לא בטוח, זכור לי משהו כזה)

וגם זה לא כ"כ אמין אפשר לזייף את זה בקלות

איציק ברבי

28-07-12 21:41

ציטוט:

נכתב במקור על ידי BuildDream (פרסם 852659)

לא כל משתמש יודע להפעיל פקד ActiveX,
ולא לכל משתמש יש את הסביבה של JAVA במחשב,
אתר העלאת תמונות דורש מהירות מריבית.

אני יודע שאפשר להשיג את כתובת הMAC דרך JAVA.

ולא ניתן לזייף כתובת MAC,
כתובת הMAC צרובה על גבי כרטיס הרשת שלך,
אתה מוזמן לבדוק את זה.

BuildDream

28-07-12 21:48

ציטוט:

נכתב במקור על ידי איציק ברבי (פרסם 852663)

מבחינת תמיכה ומהירות אני יכול להגיד אותו הדבר הל פלאש. עושים בדיקה, אם מותקן אז יש דרך זיהוי נוספת, לעוד לחזק את היכולת זיהוי שלך.

ומבחנת זיוף כתובת Mac - יצא לי לזייף את הכתובת הזאת אצלי במחשב כ"כ הרבה פעמים. אני בטוח שאפשר לזייף במחשב עצמו, אבל אני אישית עשיתי את זה על VM.

כל הזמנים הם GMT +2. הזמן כעת הוא 10:01.

עמוד 2 מתוך 3

הצג 40 הודעות באשכול על דף אחד