הוסטס - פורום אחסון האתרים הגדול בישראל - התחברות בעזרת אייפי,מה דעתכם?

עמוד 1 מתוך 3

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - התחברות בעזרת אייפי,מה דעתכם? (https://hosts.co.il/forums/showthread.php?t=70454)

Erez | TrustMedia.co.il

22-12-08 16:55

התחברות בעזרת אייפי,מה דעתכם?

חשבתי על רעיון לעשות התחברות שבמקום לשמור עוגיות בודקים קוקיז.
זה הולך ככה:
כאשר משתמש מתחבר זה מאמת את הפרטים שלו ובמידה והם נכונים הוא מכניס לטבלה של משתמשים שהתחברו את האייפי של המשתמש שהתחבר ואת האיידי של המשתמש שאליו התחבר ובנוסף קוד ראנדומאלי שנשמר על קוקיז.
ואז כאשר המשתמש נכנס לאתר בודקים אם קיימת שורה במסד שמכילה את האייפי שלו ובמידה וקיימת היא שולפת את הקוד שנשמר במסד ומאמתת אותו עם הקוקיז על המחשב.
במידה והם תואמים בודקים את האיידי ולפי האיידי יודעים לאיזה משתמש הוא מחובר ואם הקודים לא תואמים מוחקים את השורה מהמסד.
מה דעתכם?
היתרון בזה שלא ניתן לעשות עריכת קוקיז ולפרוץ למשתמשים
אבל החסרון זה שאם יש הרבה משתמשים שהתחברו זה מעמיס על האתר אבל אפשר למצוא לזה כמה פתרונות
האם יש איזושהיא בעיית אבטחה עם זה?
אשמח לשמוע את דעתכם|קורץ|

ibmod

22-12-08 16:59

ציטוט:

נכתב במקור על ידי EAStyle (פרסם 688159)

לרוב לקוחות האינטרנט הפרטיים בעלי אייפי דינאמי משמע האיפי מתחלף
דוגמא:המשתמש TEST נכנס עם האיפי 123.123.123.123 לאחר כמה זמן "הפעיל מחדש" את האינטרנט והאייפי שלו הוחלף האייפי הקודם שלו הועבר למשתמש X שבמידה והוא נכנס לפאנל שלך הוא יתחבר כמשתמש TEST

vadimg88

22-12-08 17:16

הדרך הטובה ביותר היא לבצע MD5 על הסיסמא ביחד עם המספר של המשתמש שהתחבר ולשמור בעמודה במסד ובאותו זמן בעוגיה ואז כל הזמן לאמת את זה דרך העוגיה אם קיימת מול העמודה במסד.

Erez | TrustMedia.co.il

22-12-08 17:46

ציטוט:

נכתב במקור על ידי ibmod (פרסם 688160)

בשביל זה הוספתי את החלק של הקוקיז עם הקוד

ציטוט:

נכתב במקור על ידי vadimg88 (פרסם 688161)

ואיך אני יודע לאיזה משתמש הוא מחובר אם זו הצפנה חד צדדית?
צריך עוד קוקיז?

intercooler3819

22-12-08 18:14

מה שאתה מציע זה כמו לעשות לוגין בGET

אתה פשוט מקמבן כל מיני משתנים (ID+USER+PASS+SALTER+SALTER2) לתוך איזה UNIQUE STRING
את הסטרינג הזה אתה מזרים בכתובת בכל עמוד שבו הוא גולש

בכל עמוד אתה מפענח אותה ומוציא ממנה את הסיסמא יוזר וכו'

אבל גם לזה יש חסרון (מלבד העובדה שזה עמיד בדפדפנים שונאי קוקיז וכו') - המשתמש העתיק לינק שלח לחבר שלו ובום חבר שלו ביוזר שלו

בהצלחה

Erez | TrustMedia.co.il

22-12-08 18:58

ציטוט:

נכתב במקור על ידי nitsanbn (פרסם 688165)

כנראה שלא הבנת
למשתמש זה לא משנה כי הוא לא יודע איך המתכנת גורם לזה שהוא יהיה מחובר לאתר ולו זה יראה כמו כל התחברות אחרת
אבל אני בודק אם הוא מחובר לפי האייפי שלו,מסד נתונים שיכיל מידע שאוומר שהוא התחבר,וגם קוקיז עם קוד אימות שמופיע גם במסד שמוכיח שזה הוא וזה לא משהו אחר שקיבל את האייפי שלו.
ככה זה בערך כמו סשיין רק שלא נמחק ביציאה מהדפדפן

ibmod

22-12-08 19:07

ציטוט:

נכתב במקור על ידי EAStyle (פרסם 688173)

אממ תחשוב על זה שיש כאלה שעובדים עם תוכנות אשר משנות את האייפי כל X זמן ולהם זה חיסרון.

Erez | TrustMedia.co.il

22-12-08 19:59

ציטוט:

נכתב במקור על ידי ibmod (פרסם 688177)

אממ תחשוב על זה שיש כאלה שעובדים עם תוכנות אשר משנות את האייפי כל X זמן ולהם זה חיסרון.

אז הם יצטרכו להתחבר תמיד מחדש
אבל תמיד אפשר להוסיף כמה דברים ולסדר את הבעיה הזאת

בניה	22-12-08 21:37

שאלה:למה אתה צריך אבטחה כזו מסורבלת שלא בטוח תועיל במשהו?
אם יש סיכוי שהIP שלו משתנה,אז התיחסות לIP בהתחברות זה דבר מיותר.
ואם זו מערכת ממש אבל ממש קריטית אז אפשר לעשות שהוא יעדכן את הIP שלו בFTP או את השם משתמש והסיסמא ואז יתחבר.
או לעשות משהו שרץ על המחשב שלו ועושה את זה.
או לעשות שאפשר להתחבר רק מVPN או כל מיני דברים אם מדובר במשהו שאמור להיות ממש מאובטח.

Erez | TrustMedia.co.il

22-12-08 21:40

ציטוט:

נכתב במקור על ידי בניה (פרסם 688214)

זה לא אמור להיות כלכך מאובטח סה"כ מערכת הרשמה והתחברות פשוטה
אבל אני לא ממש יודע לאבטח התחברות בקוקיז אז ניסיתי לחשוב על דרך אחרת וזה מה שעלה לי בראש

כל הזמנים הם GMT +2. הזמן כעת הוא 13:18.

עמוד 1 מתוך 3

הצג 40 הודעות באשכול על דף אחד