הוסטס - פורום אחסון האתרים הגדול בישראל

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - קוקיז או סשן? מה עדיף? (https://hosts.co.il/forums/showthread.php?t=18862)

ציטוט:

נכתב במקור על ידי eLad

לא בקלות, אבל עם טיפה מאמץ זה אפשרי

לא הבנתי מה הקשר לזה.. ברגע שאני מצליח להתחבר פעם אחת עם העוגיה שגנבתי נגמר הסיפור והמערכת נפרצה (אני אפילו לא צריך לשנות סיסמא כי המערכת אוטומטית תכניס לי עוגייה כשרה למהדרין).

זה בדיוק מה שאמרתי -

(לפי הציטוט האחרון) אז הסיסמה בכל מקרה נשארת, מאומתת ואז הולכת לSESSION..לפי מה שאמרת.

ציטוט:

נכתב במקור על ידי meshuga

(לפי הציטוט האחרון) אז הסיסמה בכל מקרה נשארת, מאומתת ואז הולכת לSESSION..לפי מה שאמרת.

לא.

אני קולט את הסיסמא אך ורק בשני מקומות באתר - בטופס ההתחברות ובטופס הרישום של המשתמש (מצפין אותה כמובן). מעבר לזה אני לא מבצע שום פעולה עם הסיסמא והיא נשארת במסד ולא יוצאת ממנו (הסיסמא לא נכנסת לא לעוגייה ולא ל session, מקומה הוא אך ורק במסד כשהיא מוצפנת!).

ציטוט:

נכתב במקור על ידי eLad

אז איך אתה משאיר משתמש מחובר?!.....כי זה לא הגיוני מה שאתה אומר...
כלומר, אם אני עכשיו סוגר את המחשב....ומפעיל..איך הוא נשאר מחובר...?...או שלא...ואז זה חיסרון ולא מתאים לפורום, לפחות מבחינת נוחות.

אז איך המשתמש נשאר מחובר? אחרי היציאה מהדפדפן
עריכה-הקדמת אותי

ציטוט:

נכתב במקור על ידי meshuga

לא הבנת (-:

המשתמש התחבר לאתר וסימן "זכור אותי לפעמים הבאות". באותו רגע נשתלת לו עוגייה (שאין בה את הסיסמא!) שבעזרתה אני אזהה אותו בפעמים הבאות.

המשתמש נכנס לעמוד במערכת, המערכת תבצע את הפעולות הבאות:

1. בדוק האם קיימת עוגייה

1.1 אם קיימת עוגיה - המשך
1.1.1 בצע אימות נתונים מול המסד
1.1.1.1 אימות הנתונים עבר בהצלחה? - הכנס userID ל session. מעכשיו והלאה (עד שהוא יסגור את הדפדפן) אני לא זקוק יותר לעוגייה ומשתמש רק ב session.

1.1.1.2 אימות הנתונים נכשל - העוגייה מזוייפת או שהסיסמא שונתה.
1.1.1.2.1 מחק עוגייה. החזר גולש לעמוד ההתחברות.
1.2 אם לא קיימת עוגיה שלח אותו לטופס התחברות עם אופציה להרשמה
1.2.1 סוף אלגוריתם

הערות:

המשתמש סוגר את האתר וחוזר אליו עוד שבוע נניח? אין שום הבעיה. העוגייה עדיין קיימת אצלו ואני מתחיל לבצע את פעולות האלגוריתם שלמעלה מחדש.

עברו 20 דק' והמשתמש לא ביצע פעולה וה session מת? אין שום הבעיה. העוגייה עדיין קיימת אצלו ואני מתחיל לבצע את פעולות האלגוריתם שלמעלה מחדש.

הבנת או שצריך הסבר נוסף? :)

ציטוט:

נכתב במקור על ידי eLad

לא הבנת (-:

המשתמש התחבר לאתר וסימן "זכור אותי לפעמים הבאות". באותו רגע נשתלת לו עוגייה (שאין בה את הסיסמא!) שבעזרתה אני אזהה אותו בפעמים הבאות.

חחחח אז בכלל קל להתחבר כי רק צריך למצא את הID או מה שאתה שומר שם ולא סיסמא
כי אתה לא בודק סיסמא כי היא לא שמורה בקוקי

ציטוט:

נכתב במקור על ידי eLad

1. בדוק האם קיימת עוגייה

1.1 אם קיימת עוגיה - המשך
1.1.1 בצע אימות נתונים מול המסד
1.1.1.1 אימות הנתונים עבר בהצלחה? - הכנס userID ל session. מעכשיו והלאה (עד שהוא יסגור את הדפדפן) אני לא זקוק יותר לעוגייה ומשתמש רק ב session.

1.1.1.2 אימות הנתונים נכשל - העוגייה בודאות מזוייפת. שמור פרטי IP במסד לצורך התקשרות מול הספק.
1.2 אם לא קיימת עוגיה שלח אותו לטופס התחברות עם אופציה להרשמה
1.2.1 סוף אלגוריתם

הערה:
המשתמש סוגר את האתר וחוזר אליו עוד שבוע נניח? אין שום הבעיה. העוגייה עדיין קיימת אצלו ואני מתחיל לבצע את פעולות האלגוריתם שלמעלה מחדש.

הבנת או שצריך הסבר נוסף? :)

צריך, כי לפי מה שאתה אומר אתה מכניס בעוגיה של "זכור איתו" את הID של המשתמש...מה שאומר שאם אני מזייף עוגיה...ומחליף את הID אני נכנס בתור משתמש אחר...
או ששכחת לציין איזה מידע אתה שם בעוגיה..כי מהכתוב..זה מה שאני מבין.

אגב אלעד, אם בא לך..שלח לי איזה תוכנת מסרים בפרטי...נראה לי אתה איש שנחמד לדבר איתו ;)

הפעם אני הקדמתי אותך :)

ציטוט:

נכתב במקור על ידי meshuga

אני לא שומר רק userID כי אחרת מה הטעם? כל האבטחה הלכה פייפל.
אני שומר לפחות 2 נתונים כל פעם כדי שאיתם אני אוכל לעשות אימות מול מסד.

אגב - ערכתי את ההודעה עם האלגוריתם. יש שינוי קטנ'ציק שם..

איזה 2 נתונים יכולים לאמת משתמש חוץ מID או USER וסיסמא?
עריכה: ושלא יהיה קל לזייף כי אז כל הרעיון שלך הלך שוב