הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   שאלה על אבטחת קוקיז (https://hosts.co.il/forums/showthread.php?t=76364)

stel222 07-07-09 12:19
שאלה על אבטחת קוקיז
 
ברגע שאני יוצר 2 קוקיז על המחשב שם משתמש וסיסמה
ובכל כניסה לדף מאמת שהשם משתמש וסיסמה נכונים ונמצאים במסד נתונים
מה הסיכוי לפרוץ למערכת ?

גם אם ישנו את הקוקיז זה יתן שגיאה כי ישנו לשם משתמש או סיסמה שלא קיימת..

אדיר 07-07-09 13:41
כל עוד אתה מאבטח את המידע המתקבל מהעוגיות,
הסיכוי לפריצה הוא בדיוק כמו הסיכוי לפריצה דרך פאנל התחברות רגיל העובד ב- POST או בכל שיטה אחרת לקבלת קלט מהמשתמש.

daMn 07-07-09 16:38
אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.

nbiwy 08-07-09 01:42
לא מומלצת להסתמך על עוגיות באתרים שההתחברות אליהם היא קריטית, לדוגמא, אתרי מכירה.
בכל מקרה לקלט של עוגיה יש להתייחס ככל קלט שמגיע ממקור חיצוני - בחשדנות יתרה.

stel222 08-07-09 02:25
ציטוט:
נכתב במקור על ידי daMn (פרסם 726420)
אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.
ואם הוא עורך ?
הרי בכל עמוד יש אימות שהשם משתמש והסיסמה בעוגיה באמת שווים אם לא שווים אז מחזיר שקר ככה בכל דף.
הוא יכול לערוך כמה שבא לו ברגע שהוא ערך זה לא יעבוד לו כי הפרטים לא יהיו נכונים

nbiwy 08-07-09 03:22
כשאתה מבצע חיבור למקומות קריטיים ולא איזה אתר דמיקולו שבנית לתומך, הסתמכות על עוגיות מסוכנת מכיוון שאפשר לגנוב אותם.
יכול לקרות מצב שמשתמש מתחבר ממקום ציבורי ושוכח להתנתק, הבאים אחריו יכולים להתחבר בשמו ולבצע פעולות בחשבון המשתמש שלו.
יותר מזה, הם יכולים להעתיק את העוגיה ולשתול אותה במחשבם האישי ולהתחבר למשתמש הזה מכל מקום.
פירצת SSH מכיוון בלתי צפוי פתאום מעמידה את האתר שלך בסכנה.
אפשר למצוא עוד המון סיטואציות.
וכל זאת מבלי להזכיר שעוגיה היא קלט שמגיע ממקור חיצוני ואפשר להכניס בה תווים לא חוקיים ולנצל פרצות אבטחה באתר.
כמו כן, יש לזכור להצפין כל מידע חשוב ששמור בעוגיה.

שיהיה בהצלחה

stel222 08-07-09 13:34
תודה חשבתי להשתמש בזה בחנות אבל נראה לי שאני יוותר על הרעיון

אדיר 08-07-09 15:15
אתה יכול ליצור מערכת סישניים משלך, להצליב עם האייפי ולעשות מלא דברים על מנת למנוע גניבת עוגיות..
בנוגע לפרצות האבטחה, כמו שאמרתי אתה צריך לאבטח את המידע המגיע מהעוגיה כמו שאתה מאבטח כל קלט אחר שהגיע מהמשתמש, אין פה משהו מיוחד.

Shay Ben Moshe 08-07-09 16:00
לדעתי אין לך יותר מדי מה לחשוש.
כל עוד זו לא מערכת שעולוה לגרום נזק אין יותר מדי מה לחשוש.
אתה מאחסן בקוקי את הUSERNAME ואת הPASSWORD בקוקי נוסף מוצפן בMD5 או הצפנה אחרת לבחירתך (שאינה הפיכה). כשאתה בודק התחברות, אתה שולף מהמסד את הסיסמה של המשתמש בעזרת הקוקי ומצפין את הסיסמה בהתאם להצפנה שלה בקוקי ומשווה...

אפשרי לגנוב את זה, ופה הבעיה האמיתית. אבל אפשרי לגנוב הרבה דברים..


כל הזמנים הם GMT +2. הזמן כעת הוא 10:02.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ