הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   כבר כמה זמן שעולה לי בראש הנושא "אבטחת אתר" (https://hosts.co.il/forums/showthread.php?t=79601)

SniR-S 16-11-09 22:36
כבר כמה זמן שעולה לי בראש הנושא "אבטחת אתר"
 
בכוונה שמתי בתוך גרשיים, אני לא אפרט, הרוב יבינו וכל אחד יקח את זה לאיזה כיוון שבא לו.
בכל מקרה, מה שאני רוצה לשאול, זה שאלות
שאנשים שואלים כאן בפורום, וכל אחד עונה משהו אחר, סגנון דומה
וכולם משתמשים בהגנות זהות, וכמובן כל אחד עם השיטות המקוריות שלו..
שמתי לב, שחלק אומרים ע"י COOKIE חלק SESSION ו HTTP_REFFER ועוד ..
הייתי רוצה לדעת, עם מה כל אחד משתמש ואיך,
הכוונה היא, שמה אתם עושים עם ה COOKIE / SESSION לדוגמא
להוסיף וליעל את רמת אבטחת האתר, ולהפחית את יכולת הפריצה לו .
כנ"ל עם HTTP_REFFER.
אני מודע לכך, שאפשר להעביר המון המון נתונים דרך הפונקציות האלה,
אבל פחות או יותר, הייתי רוצה לשמוע מכל אחד ואחד עם מה הוא משתמש
וקצת פירוט על דרך העבודה, כמובן לא את הקוד שלכם, אבל שיטות מסויימות שאתם מכירים .

Slash 16-11-09 23:40
אני חייב לציין שSESSION וCOOKIE וכל האמצעי שמירת נתונים האלה , הם רק מעטפה אחת , על מנת באמת לאבטח את הנתונים צריכים להיות עוד עטיפות , כדוגמת הצפנה , HASH , אבטחת מקור ועוד דברים אחרים.

סשן ועוגיות לא מהווים שיטה לאבטחת הנתונים מכיוון שכל אדם שיושב באמצע יכול להסניף את הנתונים ולקבל אותם כמו שהם .
חוץ מזה שלSESSION ועוגיה , יש משמעויות אחרות לגמרה .

סשן נועד לשמור פרטים בצד השרת לזמן קצר ולהתחברות עצמה , עוגיה נועדה לשמור פרטים אודות המשתמש גם לחיבורי העתיד בצד הבית.

Hanan 16-11-09 23:54
לדעתי השאלה היא לא רלוונטית, כל מערכת באתר / תוכנה / אפליקציה, יכולת האבטחה שלה היא שונה.
זוהי שאלה כללית מדי שאי אפשר להשיב עליה. כל נושא האבטחה מתבסס על סמך מה שבנית ולא על מעטפת קבועה שמספקת לך הגנה לכל מה שתבנה ובכל מצב.
אין לעולם תבנית קבועה שאתה מלביש על הקוד וגמרת סיפור, הכל מאובטח.

צריך למקד את השאלה: באילו מקרים אנו נשתמש ב SESSION, COOKIES, HASH, MD5, DB וכד'...

מה גם שכל מתכנת יש לו ראיה שונה, יש כאלו שיעדיפו X ואחרים Y, כל אחד והניסיון שלו...

SniR-S 17-11-09 06:45
ציטוט:
נכתב במקור על ידי Slash (פרסם 746239)
אני חייב לציין שSESSION וCOOKIE וכל האמצעי שמירת נתונים האלה , הם רק מעטפה אחת , על מנת באמת לאבטח את הנתונים צריכים להיות עוד עטיפות , כדוגמת הצפנה , HASH , אבטחת מקור ועוד דברים אחרים.

סשן ועוגיות לא מהווים שיטה לאבטחת הנתונים מכיוון שכל אדם שיושב באמצע יכול להסניף את הנתונים ולקבל אותם כמו שהם .
חוץ מזה שלSESSION ועוגיה , יש משמעויות אחרות לגמרה .

סשן נועד לשמור פרטים בצד השרת לזמן קצר ולהתחברות עצמה , עוגיה נועדה לשמור פרטים אודות המשתמש גם לחיבורי העתיד בצד הבית.
אכן, אני יודע שיש להם משמעויות שונות והם שונים אחד מהשני.
וכמובן שמשתמשים בהצפנת נתונים ..

ציטוט:
נכתב במקור על ידי Hanan (פרסם 746241)
לדעתי השאלה היא לא רלוונטית, כל מערכת באתר / תוכנה / אפליקציה, יכולת האבטחה שלה היא שונה.
זוהי שאלה כללית מדי שאי אפשר להשיב עליה. כל נושא האבטחה מתבסס על סמך מה שבנית ולא על מעטפת קבועה שמספקת לך הגנה לכל מה שתבנה ובכל מצב.
אין לעולם תבנית קבועה שאתה מלביש על הקוד וגמרת סיפור, הכל מאובטח.

צריך למקד את השאלה: באילו מקרים אנו נשתמש ב SESSION, COOKIES, HASH, MD5, DB וכד'...

מה גם שכל מתכנת יש לו ראיה שונה, יש כאלו שיעדיפו X ואחרים Y, כל אחד והניסיון שלו...
אתה צודק חנן, ואני מודע לכך שכל מערכת היא שונה
ואין דבר כזה מעטפת אבטחה לכל מערכת שתבנה..
והינה עזרת לי ומיקדת את השאלי שלי, כמו שרציתי לשאול.

AlmogBaku 17-11-09 13:56
תהיה ממוקד יותר, cookie מיועד למטרה מסויימת session למטרה אחרת וREFERRER נמקם במקום אחר.
אבטחה זה דבר גדול.

על רגל אחת-
אתר מאובטח טוב זה אתר שכתוב טוב- בלי קיצורי דרך, נקי, יפה, לוגי, מודולארי, ניתן לפירוק, כתוב חכם, יעיל. מתכנת שעובד בצורה כזו בדרך כלל גם יבריח כמו שצריך את המידע שלו.

intercooler3819 17-11-09 16:48
תמקד קצת את השאלה ואני אשמח לעזור לך...

בגדול מה שאתה צריך לעשות כדי לאבטח אתר אינטרנט זה לדאוג לוודא קלט ולסנן קלט וכשאני אומר קלט אני מדבר על כל מה שנדחף בבקשת http שמגיעה מהדפדפן של הלקוח (מבחינתך אתה צריך להתייחס ל get ול post באותו אופן כי בתוך הבקשה הם אותו דבר...)


כל הזמנים הם GMT +2. הזמן כעת הוא 06:42.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ