או, שאלה יפה שאלת, אבל התשובה שלי יותר יפה :-D

בעת ההרשמה, אני קולט שני פרמטרים מהמשתמש נכון? userID ו userPassword.
בשדה נוסף במסד, נקרא לו randNumber אני יוצר בעצמי (המשתמש לא קשור לזה) מספר רנדומאלי של איזה 8 ספרות ומוודא שהוא לא חוזר על עצמו (כלומר לא קיים ברשומות לפני זה).

ואני שומר בעוגייה שני פרמטרים: userID ו randNumber מוצפנים (שים לב, במסד הם בצורה רגילה!).

בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.

במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?|קורץ|

על זה חשבתי...:\..ופחדתי.
אז עוד פעם חזרנו לאי הנוחות של הקשת סיסמה כל כניסה...לפי הכתוב כמובן.

אם לא שמת לב:
"אם בא לך לשלוח לי בפרטי איזה תוכנת מסרים...יהיה נחמד לדבר...;)"

חס וחלילה. הוא לא צריך להקיש סיסמא כל כניסה.. אחרת מה הטעם פה?

כנראה שלא הבנת עד הסוף את השיטה |Rolleyes|

מסרים?
מסנג'ר - elad86@gmail.com (אם מישהו אחר מוסיף אותי, תזדהו!)

אלעד,
" בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:
במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד."

הגולש לא הקיש שום סיסמא. זה כל הרעיון. אתה אמור לזכור את הסיסמא שהוא הקיש, כדי שהוא תמיד יהיה מזוהה.

אני לא הבנתי
אני אשמח לשמוע
בדיוק מה שeye-soft אמר

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

אחלה שיטה אלעד. :)

אבל אז למה צריך סיסמא?

את זה הבנתי אחרי שיחה עם אלעד...יש לו אי סדר של הציר פקודות באלגוריתם.

הוא התנתק לי באמצע :\
לא הבנתי למה צריך סיסמא

לא מובן לי את הקטע שהמשתמש מקיש סיסמה.
אחרי אם הוא מסמן "זכור אותי" זה שומר רק ID ומס' רמדומלי קבוע למשתמש
אז אם איפה בידיוק הוקשה הסיסמה?

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה? :rolleyes:

לא נוצר קוקי?

אז לא מושתל קוקיז על המחשב ורק מופעל SESSION עם הקוד הרנדומלי+ה ID.
או יכול להיות שרק קוקיז שיש בו ערך שמאשר.

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

לא חסר כל יתרון
אבל יש לזה כמה חסרונות כמו לכל השיטות
אחרי מה שהבנתי, אני עדיין לא מחליף שיטה
אולי מחר כשהוא יסביר לי יותר

אבל מדוע צריך סיסמא לפי השיטה הזאת?

כמו ש Eye-Soft אמר.
 

אני כרגע לא רואה ייתרון באבטחה (מלבד שלא יוכלו לשחזר את הסיסמא של מישהו במידה והיא מתאימה לעוד מקומות) - ניתן באמת להעתיק את התוכן של העוגיה למחשב שלי, והאתר יחשוב שאני מחובר כבר.

בעצם במחשבה שניה (מצחיק שאני חושב תוך כדי כתיבה, אבל ככה יצא), נניח שמגבילים פעולות מסויימות, כמו החלפת סיסמא ומחיקת משתמש בכך שצריך להזין עוד פעם את הסיסמא. ואז במידה ומישהו פורץ חשבון, הוא יכול קצת להרוס, אבל לא למחוק לגמרי, ואז כאשר המשתמש המקורי יגלה שפרצו לו, רק הוא יוכל להחליף סיסמא (כי רק הוא יודע תסיסמא המקורית).

וכנראה שאנחנו המתכנתים ממש נואשים למצוא דרכים בטוחות לבנות אתר. מתי נמצא דרך בטוחה יותר?

קודם כל, נפלה טעות הקלדה קטנה. אין שום צורך בהקדלת הסיסמא מחדש. לא צריך להרוג בנאדם בשביל זה |קורץ|

סה"כ מה שאני שומר בעוגייה זה שני דברים:
ID של משתמש
קוד רנדומאלי שיצרתי לו (כמובן שבעוגייה זה מוצפן ובמסד זה לא מוצפן)

בכל התחברות מחדש (אחרי התנתקות יזומה) של המשתמש בפורום שלי, אני מחליף את הקוד הרנדומאלי שיצרתי בקוד רנדומאלי אחר.

ממש לא! זה הרבה יותר מאובטח מהשמת סיסמא בעוגייה!

קודם כל נקדים ונאמר שנגד XSS אין שום פתרון ואם גנבו את העוגייה אז המצב קשה וצריך לבדוק איך בדיוק תוכנת האתר.

למה זה יותר מאובטח? אתה תשים סיסמא מוצפנת בעוגייה. אני אגנוב לך את העוגייה ואז אני יכול לפענח בקלות את הסיסמא של המשתמש (אני לא צריך לדעת את הסיסמא המקורית, מספיק שאני מחפש ביטוי באינטרנט שמחזיר לי את אותו פלט md5) ואז החלק החשבון משתמש פייפל.

בשיטה שלי במידה ונגנבה העוגייה, המשתמש סה"כ צריך להתנתק מהחשבון שלו ולהתחבר מחדש ובכל נוצר לו קוד רנדומאלי חדיש חדש והעוגייה שבידי הגנב לא שמישה עוד.

לא הבנתי איפה הסיסמא נכנסת בכל העניין..

אתה סה"כ שומר אותה בעת ההרשמה ומוודא קיומה בעת ביצוע login בטופס שלך. זה הכל.

אבל למה אתה משווה אותה כשהמשתמש נכנס בפעם השניה לדף?

אני לא משווה אותה -

אלעד, זה עדין לא יתרון אבטחה. מלבד העובדה שאם המשתמש יתנתק ויתחבר מחדש יהיה קוד אבטחה חדש, שזה גם לא יתרון גדול. מי שהתחבר עם הCOOKIE של אותו האדם (בעזרת אותה הדרך שפורצים למי שיש עוגיה עם סיסמא מוצפנת) יוכל להתנתק ולהתחבר מחדש.
קיצר, מלבד העובדה שזה מעמיס על השרת ליצור סיסמא רנדומאלית ולבדוק שאין עוד לשום משתמש סיסמא כזו, זה לא עוזר הרבה.

סלח לי אבל אתה אומר שטויות.. |:

איך בדיוק הוא יוכל להתחבר? אין לו את הסיסמא!
בשיטה שלך שאתה שומר את הסיסמא מוצפנת בעוגייה אפשר לפענח את הסיסמא ואז להיכנס מחדש..

אז השרת יודע שהעוגיה לא גנובה?
!?

??

אני הבנתי את השיטה, רעיון מעולה דווקא
אבל לא הבנתי איך אפשר לגלות את הסיסמא מהMD5