|
ציטוט:
ומה זו בדיוק השיטה הכי מאובטחת? |
ציטוט:
|
מה שאני בדרך כלל עושה זה שילוב של סישן ועוגיות אבל בצורה שהבדיקה נבדקת אך ורק מהסישן.
הסבר על שיטת העבודה: יצירת דף אימות שיעשה את כל הפועולות של הבדיקה, הדף הזה יוכנס בכל חלק עליון של כל דף אחר. מה שעושים בקובץ זה מאמתים רק דרך סישן, בכל כניסה לדף מסויים מתבצעת בדיקה האם קיים סישן, אם קיים מבוצע אימות של הפרטים בסישן ביחד עם הפרטים במסד, אם עבר בהצלחה בודק אם יש עוגיות ואם אין יוצר אותם (עוגיות עם שם משתמש וסיסמה כמובן) לאחר מיכן נותן לו לראות את שאר הדף. במידה ולא קיים סישן המערכת בודקת עם קיימת עוגיה, את העוגיה המערכת הופכת לסישן ומרעננת את הדף. במידה ולא קיים לא סישן ולא עוגיה נשלח בקשה להכנסת שם משתמש וסיסמה, אם אומתו נכון נוצר סישן ועוגייה והדף מרופרש. זאת שיטה מאובטחת, שיהיה בהצלחה. |
דבר ראשון, אני לא משתמש ב SESSION המובנה ב PHP, אני משתמש במערכת נפרדת שבניתי של SESSION ב DB שבעזרתה אפשר לנטר גם פעילות במערכת ועוד כמה דברים (כמו כמה משתמשים מחוברים עכשיו ?)
בכל מקרה, אני שומר כזה דבר ב SESSION : useragent userip loggedin lastvisit userid sessionid אני מגדיר בכל מערכת SESSION_TIMEOUT שאני רוצה לדוגמא 3600 - שעה וגם אני מגדיר בכל מערכת COOKIE_SECURITY_SALT ואז על העוגיה אני שומר USERID וסיסמא, כאשר את הסיסמא (שהיא גם ככה מוצפנת) עוברת הצפנה נוספת והפעם בתופסת של התווים שהגדרתי בקבצי מערכת. לדוגמא : securitycode = o21ki399fd3r3n4pls;ldk0e3`dfdl עכשיו אני לוקח את הסיסמא ועושה md5($securitycode.$password.$securitycode) עכשיו ה SESSION VALID לשעה בערך ואז כשאני בודק את הCOOKIE אני משווה אותו מול ה DB כל פעם כמובן שלהצפנה יש אין סוף אפשרויות, ואז כשאני בודק את המשתמש ואז אני בודק את האיפי,את הדפדפן,את העוגיות ואת הכל מול המסד נתונים אם השתנה לו האיפי תוך שעה ? אז שיתחבר מחדש - לפעמים יש אפשרות שהוא מזהה את הכל נכון ומעדכן את SESSION עם האיפי החדש. בכל מקרה אני מגדיר את ה TIMEOUT לשעה ככה שזה לא קריטי לי קיצר יש לי מערכת בת-*** לזה, ורק 2 שאילתות לדף בכל |
| כל הזמנים הם GMT +2. הזמן כעת הוא 16:32. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ