המצאתי שיטה חדשה לאבטחה, כמה אתם אומרים שהיא שווה?
 

המצאתי שיטה חדשה לחסימת עריכת עוגיות,השיטה לא קלה אבל גם לא קשה ולא השתמשו בה עדיין באף אתר, בעזרת השיטה הזאת כבר אי אפשר לקחת קוד על ידי DOCUMENT COOKIE לדוג' ולשים כי זה לא יעבוד או כל שיטה אחרת שדרכה צריך לערוך את הקוקיז שאלה הם חלק גדול מסוגי הפריצות לאתרים גדולים,

אתם אומרים אפשר למכור את זה לאתרים גדולים כמו בנקים וכו'?

לשמור את הערכים של העוגיות/ האש כלשהו שלהן במסד/ בעוגייה אחרת? =/
עריכה: אם לא, אז הנה עוד רעיון..

אנחנו לא יכולים להגיד לך כלום כי אנחנו לא יודעים מה השיטה ועד כמה היא באמת אמיתית ויעילה (אם בכלל).

אני לא יגלה את השיטה כי זה משו פרטי שלי וזה לא לשמור את העוגיות במסד ולא בעוגיה אחרת אבל לא צריך לדעת מה השיטה כדי לדעת מה הערך שלה כל עוד אתה יודע שהעיקר זה שאי אפשר לערוך את העוגיות ולכן גם אם יש לך האש של משתמש אתה לא יכול לפרוץ לו.

איזה יופי משחק ניחושים.
הממ אתה בודק מתי פעם אחרונה ניגשו אליה?
ואפחד לא יקנה את זה, לא חסר דרכים לאבטח עוגיות.

חסר תאמין לי שחסר אני מכיר את שיטות האבטחה של האתרים הגדולים קצת יותר ממך8-)

היא שווה כמה שמוכנים לשלם בשבילה, תנסה למכור ותגלה.

כן משהו, בדיוק פרצו לי לחשבון בנק אתמול. (לא שיש קשר לעוגיות אבל שיהיה)

יש כמה וכמה שיטות, רובן לא ממש יעילות או די מגבילות (לדוגמה מפתחות תלוי נוסף בכתובת האייפי של הגולש).

עוד פעם,
אתה מבקש מאיתנו לתת לך הערכת מחיר לחתול בשק, זה פשוט בלתי אפשרי.
אי אפשר לתת לך הערכת מחיר על דבר שאנחנו לא יודעים איך, למה, איפה, מתי, כמה ואם בכלל הוא פועל.

מה שלא תבנה משהו קטן ותיתן לנו בתור אתגר לפרוץ, כמה תוכל לדעת עד כמה היא באמת שווה השיטה שלך

מצחיקול.
אין יותר מידי צורך לאבטח מידע בקוקיז - מהסיבה הפשוטה שכל המידע נבדק ע"י השרת גם ככה, שומרים שם רק מידע שגם ככה לא אכפת לך לתת.

לגבי ה"ידע שלך" - אתה מאבטח מידע[חחחח!], אני ממש בטוח שאתה יודע, ואנ י גם בטוח שאתה עוסק בזה בשעות הפנאי במחקרים באוניברסיטה.



בקיצור - אין סיבה שמישהו יקנה, בטח לא כשאין לך אסמכתות מקצועיות[אם אתה שומר את הקוד לעצמך איך ידעו שאתה לא מבלף?], ובטח לא כשאתה קורא לעצמך סלקטור כלומר שומר כלומר מאבטח מידע.

מי שמעוניין לקנות את המערכת הזאת אני ישים לו אותה וככה הוא יראה שאני לא מבלף ומן הסתם יש לי קורות חיים, לקוחות ועשרות אנשים שמכירים אותי שיעידו עלי.
ד"א: ההודעה שלך הייתה די ילדותית בן כמה אתה?

אם היית ממציא שיטת אבטחה חדשה לא הייתי בפורום הזה.

אני לא חושב שיש סיבה כלשהיא לזלזל בך,
מצד שני.. דברים שנאמרו כאן הם דיי נכונים - אתה מבקש שנעריך עבורך משהו.. שגם אתה לא יודע עד כמה הוא תקף.

פיתחת מוצר שמיועד לתת הגנה משופרת:
1. האם בוצעה בדיקת חדירות למוצר ע"י מומחים בנושא?
2. למי מיועד המוצר? עד כמה הוא קל להתמעה?
3. בראשי פרקים - מהי השיטה? הרי אתה מעוניין למכור אותה לאנשים.. אף אחד לא יקנה חתול בשק - אתה היית קונה?

ממ הבעיה הזאת כבר נפתרה...
כבר שנים שמערכות גדולות משתמשים ב token authentication
http://www.w3.org/2001/sw/Europe/eve...uthentication/

זאת דוגמא קלאסית מה שיש בלינק במיוחד הפסקה
The general concept behind a token-based authentication system is simple. Allow users to enter their username and password in order to obtain a token which allows them to fetch a specific resource - without using their username and password. Once their to ken has been obtained, the user can offer the token - which offers access to a specific resource for a time period - to the remote site. Using some form of authentication: a header, GET or POST request, or a cookie of some kind, the site can then determin e what level of access the request in question should be afforded.
The type of changes this type of authentication requires is obviously dependent on the current implementation of your site. Example code I might be able to write in Perl or PHP would not only be language and implementation specific, it would also be appli cation specific. However, some general principles should be considered in both the creation of a process to obtain tokens and the process of using them. Simplicity for users, robustness for interoperability, and protection of user data are all important f or your application, and each can fall by the wayside in attempting to design a system which fits user expectations.

אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה.

אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת.
ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות].

בקיצור אל תעשה מעצמך צחוק.
וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

מידע שרוצים לשמור לא שמים על קבצי עוגיות .

אני לא עושה מעצמי צחוק ואני שמח לקבל ביקורות בונות ממכם
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם,
עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי,
חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך,
בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא..

nitsanbn:
אני לא מדבר על התחברות לפאנל אדמין.

TelecarT:
1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.
2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו.
3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID,
בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים,
השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,
חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות.


שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות 8-)

מה שתיארת פה גורם לאיבוד המשמעות של הקוקיז, כל הרעיון מאחורי העוגיה היא שהמידע נשמר אצל המחשב של המשתמש גם אם הוא עשה ריסט וכו' אתה תדע את הפרטים.

אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE.

הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית.

בגלל שזה מורכב אם אני יסביר את הפירוט המלא גם אנשים יוכלו להכין את זה, בעיקרון לא הורדתי מהמשמעות של הקוקיז אלא הוספתי לה כמו "שומר ראש" שבודק מי משנה בה ערכים.

לא קצת יהיר מצדך?

לא מכיוון שאני מציג דו"ח שמראה את התהליך.

הכיוון שלי היה קצת אחר בשאלה שלי,

האם לדעתך אתה יכול להוציא את המוצר "לקהל" לאחר בדיקה שלך בלבד?

או במילים אחרות,
האם היית קונה פלאפון (משכולל ככול שיהיה) במידה וידע שרק אדם אחד ביצע עליו בקרת איכות?
אני חושב שלא.

סליחה אם אני זה שלא הסברתי נכון דבר ראשון בזה שאני אומר שאני מציג את הדוח לא אומר שאני מכין את הדו"ח אלא אני ושאר הצוות שלי (PHPSEC) מכינים את הדוח,
יוצא שהבדיקה נערכת כ3-4 פעמים ונכתבת בדו"ח מפורט.

טוב חבל על הוויכוח, אני לא מצליח להבין למה אתה חושב שאבטחה היא עניין של מסדי נתונים ופונקציות- אבל מדינה חופשית- לא?
רק חבל שתיתבע על מיליונים כיגידו לך שלא המצאת כלום, ושאתה ספקולטור.

אני מאוד מצטער, אבל אתה לא באמת עוסק באבטחת מידע אמיתית - אתה סתם יודע כמה פונקציות נחמדות. ואולי אתה מתכנת טוב, אבל זה לא קשור בכלל.
ובאמת ובתמים, אני יודע שזה מרגיז ואתה ברגע זה ממש לא סובל אותי- אבל אי אפשר ככה, חייבים לשמור על מקצועיות. אין דבר כזה קידוד ואין דבר כזה מאבטח קוד. תשמרו על מקצועיות ואת תבלבלו את השכל. והעניין הוא שאתה פשוט הקש ששבר את גב הגמל.


דניאל- אני לא מבין בכלל על מה הוויכוח פה, אני ואתה יודעים שעל מה שהוא מדבר לא מספיק להגיד "יש לי וזה עובד" אלא שבמקרים האלו צריך להציג הסבר כללי על האלגוריתם ולהשאיר הרבה פערי מידע, אבל כמו שהבנת במקרה שלו הסבר כללי הוא כל הרעיון ואין מאחורי זה שום מחקר אמיתי.

חביבי הרי קוד אבטחה אי אפשר לגנוב מהצג מקור
אז למה שלא תיתן לנו דמו קצר?

כדי לתת דמו אני צריך לתת לכם מערכת ולהוסיף עליה את האבטחה וכרגע אני לא יעשה את זה מכמה סיבות,
ומה שאני רוצה להגיד בעצם זה שאני לא חייב לספק לכם הוכחות בכלל כי את ההוכחותץ אני יצטרך לספק למי שיקנה אני רק באתי לשאול מה שווי הרעיון עצמו.


בקשר אליך BAKU,
באמת לא קיים מקצוע בשם קידוד אבל אבטחת מידע קיים
ואני לא סתם יודע כמה פונקציות נחמדות,
הידע שלי הוא לאבטח את כלל המערכות בסביבת WEB, בניתי פאנל שאליו נשלחים דיווחים על פירצות ועוד המון מערכות, תוספות וכלים וזה רק בתחום האבטחת מידע.

ולך ללימודי הייטק ותראה מקצוע "אבטחת מידע".
כפי מה שנראה עצם זה שאמרת שאין כזה מקצוע אתה חד משמעית הבהרת שאין לך ידע בנושא בכלל חוץ מהבסיס,
אז כמו שאמרתי אני לא חייב להציג לכם את ההסבר המפורט של המערכת כי אני לא חייב לכם כלום ומה שרציתי לשמוע ממכם זה דעה על המערכת ולא דעה על איך בנויה על המערכת או אם אני באמת בניתי אותה.

חגי,
אם הרעיון עובד ובאמת טוב אז יכול להימכר להרבה אנשים,
למרות ש...
לא יותר קל להצפין את העוגיה באיזה 4 הצפנות שונות, ופשוט להכניס לתוך זה את הדפדפן שלו?
וגם להוסיף למסד ולבדוק מתי פעם אחרונה הוא נכנס?
כן זה יקח מקום במסד
אבל בשביל אבטחה עושים הכל לא?
חוץ מזה אם אתה מתכוון למכור את זה תציג את האבטחה ונראה עד כמה היא לא פריצה,
כי אף בן אדם לא יקנה כמו שאמרו כאן
חתול בשק.

בהצלחה עם השיווק והמכירה,
יורי.

נו אז זה בדיוק כמו שאמרתי..

שימוש ב- IP לצורך הנ"ל זה משהו ידוע ונפוץ,
אך זה גם משהו שמגביל את המשתמשים ולכן לא הרבה משתמשים בזה,
אלא אם כן באמת צריך (או לפחות הם חושבים ככה).

אוקי תודה באמת על הביקורות יום טוב אפשר לנעול :)

KEYBOARD_C

מה שכתצבתי לא מדבר על המסד
הוא מדבר על כל מי שנכנס לאתר גם אם הוא מחובר וגם אם לא

אתה סתם נכנס ראש בראש תקרא טוב ותבין שהמציאו את מה שהמצאת כבר מזמן (לא שאני בא לקטוןל אבל זה כבר הומצא)