|
קוקיז או סשן? מה עדיף?
אשמח לשמוע דעות בעניין.
|
תאמת לא משנה העיקר תדע לאבטח איתם ונכון :\
אני יותר נוח לי קוקיז אבל כל אחד ודעתו ... |
תלוי בצרכים שלך.
|
ציטוט:
|
אתה לא תיצור SESSION ששומר את פרטי ההתחברות של "התחבר אוטמטית" , כי זה לא נשמר על המחשב
לעומת זאת, אתה לא תשמור COOKIE שבו יש את ה ID של המשתמש, כי אז כל אחד יוכל לזייף ולהתחזות לאיזה שימוש אתה צריך |
פורום
|
ציטוט:
וגיא, אני לא מבין מה הבעיה בid כל עוד יש עוד עוגיה של סיסמה..... למשל, בפורום עדיף לשמור את הID של המשתמש והסיסמה בעוגיה (סיסמה מוצפנת) ואז לאמת נתונים. במקום לשים את השם משתמש.. *מאוד נוח במקרה של שינוי שם משתמש. |
ציטוט:
|
ציטוט:
אם ככה אתה רוצה את הפורום שלך.....בכיף. |
אם זה פורום אז קוקיז.
למה? כי מישהו מתחבר, גלש בכייף.. יצא מהדפדפן, ואחרי חצי שעה בא לו שוב לגלוש --> עוד התחברות? קיצ' - יותר נוח. |
בגלל זה אמרתי תלוי בצרכים.
אם אתה צריך שאחרי שהמשתמש סוגר את הדפדפן זה יתנתק תשתמש בSESSION. אם אתה רוצה שיהיה למשתמש נוח והוא יוכל למיד להישאר מחובר תשתמש בקוקיז רק תצפין אותם טוב, כי יש הרבה מאוד דרכים ל"פרוץ" עוגיות. זאת אומרת שאם נגיד את מוריד לעוגיה את ה ID של המשתמש ולא עושה בדיקה בצד שרת כל פעם אם ה ID שווה לסיסמא(שגם אותה אתה צריך להוריד רק מוצפנת) (שווה לסיסמא זאת אומרת שהם באותה שורה במסד), אם לא תעשה את זה אז כל אחד שירצה "לפרוץ" לחשבון אחר שינה לאיזה ID שהוא ירצה והופ נכנס לחשבון של משתמש אחר. ושוב זה תלוי בצרכים. |
נערך
|
עדיף קוקיז , במיוחד לפורום..
|
אני שם קוקי אחד גם ID גם USER וגם PASS ומפריד ומשתמש בexplode
ואת הPASS בMD5 |
ציטוט:
למה אתה שומר גם user וגם ID במסד? למה בכלל לשמור סיסמא בעוגיה? טעות אבטחה קריטית |
ציטוט:
להשאיר רק ID ? ואז כל אחד שיודע איך לשנות עוגיה יוכל לפרוץ... אם יש לך שיטה טובה אתה מוזמן לשתף אותנו ;) |
ציטוט:
רגע מה זה משנה אם הוא ישנה את הID והUSER שיתאימו למשתמש של האדמין הסיסמא לא תהיה נכונה גם כי הוא לא יודע וגם כי זה MD5 |
ציטוט:
ואלעד, אם זה פרצת אבטחה כ"כ גדולה, זה מוזר שכל אתר עם כניסת משתמש אוטומטית (כגון פורום) עושה את זה (כולל זה שאנחנו עכשיו מדברים על גבי דפיו). |
אני יודע, דווקא במערכת שעכשיו אני עושה (ראו חתימה) אני לא שמרתי ID
אבל בקודמות כן שמרתי, סתם בשביל הכיף :\ |
ציטוט:
וגם אם עושים את זה אז זו תפיסת אבטחה מוטעית מיסודה ולא ככה עושים את הדברים.. בכלל - סיסמאת משתמש היא אחד הדברים שצריכים להיות שמורים ביותר לאחר ביצוע הרשמה. אין שום טעם לפרסם אותה בעוגיה כדי שכל אחד יוכל לעיין בזה (אפילו אם זה מוצפן ב MD5), ועל אחת כמה וכמה שכל העולם ואישתו משתמשים ב MD5. איך בקלות אני פורץ לכם את האבטחה במקרה הזה? נניח ומדובר במערכת פורומים ובעוגייה נשמרים ה userID וה userPassword (מוצפן ב MD5). לצורך העניין ה userID הוא 6523 וה userPassword זה 32 תווים מסויימים שהנפיק ה md5. אני נרשם לפורום בתור משתמש רגיל, הולך לפרופיל משתמש של יוזר 6523. על ידי כך מצאתי את ה userName שלו. אני הולך לעוגיה שגנבתי, מוציא משם את ה 32 תווים שהנפיק ה MD5, מכניס את ה 32 תווים האלו בגוגל ותוך שניות אני מקבל ביטוי שיכול להרכיב את ההצפנה הזאתי (אתם יודעים שלמשל למילה "שלום" ולביטוי "whats up" ייתכן אותו פלט?). ברגע שקיבלתי את הביטוי שהוצפן (נניח וזה המילה "אלעד") אני הולך לטופס התחברות ומתחבר עם הפרטים שבידיי - היוזר שמצאתי והביטוי שהוצפן מגוגל. היופי בדבר הוא שאני אפילו לא צריך לדעת מה הסיסמא האמיתית של הבחור כי כל הבדיקות שאתם עושים זה פשוט להצפין את המחרוזת שקיבלתם ולהשוות אותה למה שיש במסד. במקרה הזה הביטוי שמצאתי בגוגל יהיה שווה לביטוי שיש במסד.. והופס.. אני בפנים ואלו היום 60 שניות עם אלעד איך פורצים אבטחה של פורום שחושב שהוא חכם ושומר סיסמא בעוגייה |כאן..שם| |
ציטוט:
|
ציטוט:
בכל מקרה אני לא יכול לפרוץ לך למשתמש פה מהסיבה הפשוטה שלא השגתי עדיין את העוגייה שלך. אם אני אמצא איזה באג במערכת (רמז רמז העלאת קבצים ושימוש ב document.cookie לדומיין שלי) אז המשתמש שלך בהחלט נפרץ. |קורץ| |
תראה, בשביל להשיג את הקוקיז שלו אתה צריך גישה למחשב שלו, ואם יש לך את זה אז אתה כבר יכול להכנס לפורום או למה שזה לא יהיה
|
ציטוט:
תחשוב רגע בהיגיון, אם רק מגישה פיזית למחשב היה אפשר לפרוץ קוקיז, אז מה הטעם בהצפנת הסיסמא שם? סתם עוד זמן עיבוד שרת? |Rolleyes| אני בקלות יכול לנצל פרצת אבטחה שקיימת פה בפורום (להזכירכם, גם בפעם שעברה הצלחתי לזייף את הניק של דני) והעוגיה תגיע אלי בלי שום טרחה גדולה.. |
רגע אז איך אתה מציג לעשות?
|
ציטוט:
|
איך אני יכול להשאיר משתמש מחובר גם כשהוא יוצא מהדפדפן ושזה יהיה "מאובטח"?
כי עד עכשיו רק הערת לנו אבל בעצם לא אמרת איך |
eLad , אז זה אומר שבקלות פה אתה יכול לפרוץ למנהל הראשי..?
|
אלעד, כדי לאפשר למשתמש להיות תמיד מחובר חובה שגם הPASS וגם הUN יהיו שם. ישנם המון דרכים לשחק עם זה. אני לדוגמא משלב בין העוגיה לSESSION. המידע מהעוגיה הוא רק כדי לבדוק האם המידע בה תקני. אם הוא תקני אני עובר לעבוד רק עם הSESSION.
|
ציטוט:
ציטוט:
ציטוט:
ציטוט:
|
ציטוט:
|
ציטוט:
אני קולט את הסיסמא אך ורק בשני מקומות באתר - בטופס ההתחברות ובטופס הרישום של המשתמש (מצפין אותה כמובן). מעבר לזה אני לא מבצע שום פעולה עם הסיסמא והיא נשארת במסד ולא יוצאת ממנו (הסיסמא לא נכנסת לא לעוגייה ולא ל session, מקומה הוא אך ורק במסד כשהיא מוצפנת!). |
ציטוט:
כלומר, אם אני עכשיו סוגר את המחשב....ומפעיל..איך הוא נשאר מחובר...?...או שלא...ואז זה חיסרון ולא מתאים לפורום, לפחות מבחינת נוחות. |
אז איך המשתמש נשאר מחובר? אחרי היציאה מהדפדפן
עריכה-הקדמת אותי |
ציטוט:
המשתמש התחבר לאתר וסימן "זכור אותי לפעמים הבאות". באותו רגע נשתלת לו עוגייה (שאין בה את הסיסמא!) שבעזרתה אני אזהה אותו בפעמים הבאות. המשתמש נכנס לעמוד במערכת, המערכת תבצע את הפעולות הבאות: 1. בדוק האם קיימת עוגייההערות:
הבנת או שצריך הסבר נוסף? :) |
ציטוט:
כי אתה לא בודק סיסמא כי היא לא שמורה בקוקי |
ציטוט:
או ששכחת לציין איזה מידע אתה שם בעוגיה..כי מהכתוב..זה מה שאני מבין. אגב אלעד, אם בא לך..שלח לי איזה תוכנת מסרים בפרטי...נראה לי אתה איש שנחמד לדבר איתו ;) |
הפעם אני הקדמתי אותך :)
|
ציטוט:
אני שומר לפחות 2 נתונים כל פעם כדי שאיתם אני אוכל לעשות אימות מול מסד. אגב - ערכתי את ההודעה עם האלגוריתם. יש שינוי קטנ'ציק שם.. |
איזה 2 נתונים יכולים לאמת משתמש חוץ מID או USER וסיסמא?
עריכה: ושלא יהיה קל לזייף כי אז כל הרעיון שלך הלך שוב |
| כל הזמנים הם GMT +2. הזמן כעת הוא 21:03. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ