הוסטס - פורום אחסון האתרים הגדול בישראל

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - קוקיז או סשן? מה עדיף? (https://hosts.co.il/forums/showthread.php?t=18862)

ציטוט:

נכתב במקור על ידי SsH S Scripts

איזה 2 נתונים יכולים לאמת משתמש חוץ מID או USER וסיסמא?
עריכה: ושלא יהיה קל לזייף כי אז כל הרעיון שלך הלך שוב

או, שאלה יפה שאלת, אבל התשובה שלי יותר יפה :-D

בעת ההרשמה, אני קולט שני פרמטרים מהמשתמש נכון? userID ו userPassword.
בשדה נוסף במסד, נקרא לו randNumber אני יוצר בעצמי (המשתמש לא קשור לזה) מספר רנדומאלי של איזה 8 ספרות ומוודא שהוא לא חוזר על עצמו (כלומר לא קיים ברשומות לפני זה).

ואני שומר בעוגייה שני פרמטרים: userID ו randNumber מוצפנים (שים לב, במסד הם בצורה רגילה!).

בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.
במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?|קורץ|

ציטוט:

נכתב במקור על ידי eLad

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.
במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?|קורץ|

על זה חשבתי...:\..ופחדתי.
אז עוד פעם חזרנו לאי הנוחות של הקשת סיסמה כל כניסה...לפי הכתוב כמובן.

אם לא שמת לב:
"אם בא לך לשלוח לי בפרטי איזה תוכנת מסרים...יהיה נחמד לדבר...;)"

ציטוט:

נכתב במקור על ידי meshuga

אז עוד פעם חזרנו לאי הנוחות של הקשת סיסמה כל כניסה...לפי הכתוב כמובן.

חס וחלילה. הוא לא צריך להקיש סיסמא כל כניסה.. אחרת מה הטעם פה?

כנראה שלא הבנת עד הסוף את השיטה |Rolleyes|

מסרים?
מסנג'ר - elad86@gmail.com (אם מישהו אחר מוסיף אותי, תזדהו!)

אלעד,
" בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:
במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד."

הגולש לא הקיש שום סיסמא. זה כל הרעיון. אתה אמור לזכור את הסיסמא שהוא הקיש, כדי שהוא תמיד יהיה מזוהה.

אני לא הבנתי
אני אשמח לשמוע
בדיוק מה שeye-soft אמר

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

אחלה שיטה אלעד. :)

אבל אז למה צריך סיסמא?

ציטוט:

נכתב במקור על ידי somebody

את זה הבנתי אחרי שיחה עם אלעד...יש לו אי סדר של הציר פקודות באלגוריתם.

הוא התנתק לי באמצע :\
לא הבנתי למה צריך סיסמא