הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 1 מתוך 3 1 23
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   העמממ :| אבטחת עוגיה? (https://hosts.co.il/forums/showthread.php?t=22687)

sUP 27-05-06 22:13
העמממ :| אבטחת עוגיה?
 
יש רעיונות לעשות אבטחה כלשהי למתחברים לאתר?
שלא ישתמשו להם במשתמשים וזה..

Alter 27-05-06 22:30
בדיקה עם איי פי שהאייפי שאתה משתמש בו עכשיו הוא באמת האייפי שכתוב בעוגיה?
קצת לא יעיל , כי אפשר לשנות אייפי ואם האיפי משתנה אז נדפקים , אבל אין לי ממש רעיונות.
אולי הצפנה של המספר משתמש והסיסמא =\

-VladK- 28-05-06 06:07
מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

MasterNir 28-05-06 10:37
ציטוט:
נכתב במקור על ידי CriSis
מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?
אבל אז אתה מאבד את כל האפקט של העוגיה...

אתה יכול לבדוק IP כמו שהבחור ההוא אמר או שאתה יכול לבדוק את הטווח של ה-IP.
אתה יכול ליצור עוד עוגיה שתאשר את השימוש בעוגיה בשביל להתחבר, כך הפורץ יצטרך לדעת לגנוב את שתי העוגיות ולא רק אחת.

אבל בגדול אבטחת עוגיות נעשת בעיקר בצד הלקוח, אתה לא יכול לעשות הרבה.

sUP 28-05-06 11:59
הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!

Alter 28-05-06 12:35
ציטוט:
נכתב במקור על ידי sUP
הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!
אי אבטחה של עוגיה פשוט יתן לכל אחד להתחבר לחשבון בלי בעיה.
למשל אני מנהל של האתר שאתה בונה ויש לי במחשב עוגיה שזוכרת את השם משתמש והסיסמא שלי, מישהו פרץ לי למחשב וגנב את העוגיה, שם אצלו בתיקיה הנכונה והופ הוא מנהל לתפארת מדינת הנוכלים.

sUP 28-05-06 13:33
אז איך מבצעים אבטחה נכונה?

Alon.R 28-05-06 13:39
דבר ראשון, עוגייה של סיסמא שתצתרף לעוגיות האחרות.
ובדיקה של השם משתמש אם הוא תואם לסיסמא בעוגיה ולעוגיית הID (במידה ויש כזאת).

בניה 28-05-06 14:28
ב"ה


אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.

miniature 28-05-06 14:32
ציטוט:
נכתב במקור על ידי בניה
ב"ה


אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.
וכאשר מישהו ינסה להתחבר ממחשב ב' כאשר במחשב א' המשתמש מחובר והעוגיה קיימת, הוא לא יאפשר להתחבר.


כל הזמנים הם GMT +2. הזמן כעת הוא 18:44.
עמוד 1 מתוך 3 1 23
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ