כבר כמה זמן שעולה לי בראש הנושא "אבטחת אתר" - הוסטס

SniR-S · 16-11-09, 22:36

בכוונה שמתי בתוך גרשיים, אני לא אפרט, הרוב יבינו וכל אחד יקח את זה לאיזה כיוון שבא לו.
בכל מקרה, מה שאני רוצה לשאול, זה שאלות
שאנשים שואלים כאן בפורום, וכל אחד עונה משהו אחר, סגנון דומה
וכולם משתמשים בהגנות זהות, וכמובן כל אחד עם השיטות המקוריות שלו..
שמתי לב, שחלק אומרים ע"י COOKIE חלק SESSION ו HTTP_REFFER ועוד ..
הייתי רוצה לדעת, עם מה כל אחד משתמש ואיך,
הכוונה היא, שמה אתם עושים עם ה COOKIE / SESSION לדוגמא
להוסיף וליעל את רמת אבטחת האתר, ולהפחית את יכולת הפריצה לו .
כנ"ל עם HTTP_REFFER.
אני מודע לכך, שאפשר להעביר המון המון נתונים דרך הפונקציות האלה,
אבל פחות או יותר, הייתי רוצה לשמוע מכל אחד ואחד עם מה הוא משתמש
וקצת פירוט על דרך העבודה, כמובן לא את הקוד שלכם, אבל שיטות מסויימות שאתם מכירים .

Slash · 16-11-09, 23:40

אני חייב לציין שSESSION וCOOKIE וכל האמצעי שמירת נתונים האלה , הם רק מעטפה אחת , על מנת באמת לאבטח את הנתונים צריכים להיות עוד עטיפות , כדוגמת הצפנה , HASH , אבטחת מקור ועוד דברים אחרים.

סשן ועוגיות לא מהווים שיטה לאבטחת הנתונים מכיוון שכל אדם שיושב באמצע יכול להסניף את הנתונים ולקבל אותם כמו שהם .
חוץ מזה שלSESSION ועוגיה , יש משמעויות אחרות לגמרה .

סשן נועד לשמור פרטים בצד השרת לזמן קצר ולהתחברות עצמה , עוגיה נועדה לשמור פרטים אודות המשתמש גם לחיבורי העתיד בצד הבית.

Hanan · 16-11-09, 23:54

לדעתי השאלה היא לא רלוונטית, כל מערכת באתר / תוכנה / אפליקציה, יכולת האבטחה שלה היא שונה.
זוהי שאלה כללית מדי שאי אפשר להשיב עליה. כל נושא האבטחה מתבסס על סמך מה שבנית ולא על מעטפת קבועה שמספקת לך הגנה לכל מה שתבנה ובכל מצב.
אין לעולם תבנית קבועה שאתה מלביש על הקוד וגמרת סיפור, הכל מאובטח.

צריך למקד את השאלה: באילו מקרים אנו נשתמש ב SESSION, COOKIES, HASH, MD5, DB וכד'...

מה גם שכל מתכנת יש לו ראיה שונה, יש כאלו שיעדיפו X ואחרים Y, כל אחד והניסיון שלו...

SniR-S · 17-11-09, 06:45

ציטוט:

נכתב במקור על ידי Slash

אני חייב לציין שSESSION וCOOKIE וכל האמצעי שמירת נתונים האלה , הם רק מעטפה אחת , על מנת באמת לאבטח את הנתונים צריכים להיות עוד עטיפות , כדוגמת הצפנה , HASH , אבטחת מקור ועוד דברים אחרים.

סשן ועוגיות לא מהווים שיטה לאבטחת הנתונים מכיוון שכל אדם שיושב באמצע יכול להסניף את הנתונים ולקבל אותם כמו שהם .
חוץ מזה שלSESSION ועוגיה , יש משמעויות אחרות לגמרה .

סשן נועד לשמור פרטים בצד השרת לזמן קצר ולהתחברות עצמה , עוגיה נועדה לשמור פרטים אודות המשתמש גם לחיבורי העתיד בצד הבית.

אכן, אני יודע שיש להם משמעויות שונות והם שונים אחד מהשני.
וכמובן שמשתמשים בהצפנת נתונים ..

ציטוט:

נכתב במקור על ידי Hanan

לדעתי השאלה היא לא רלוונטית, כל מערכת באתר / תוכנה / אפליקציה, יכולת האבטחה שלה היא שונה.
זוהי שאלה כללית מדי שאי אפשר להשיב עליה. כל נושא האבטחה מתבסס על סמך מה שבנית ולא על מעטפת קבועה שמספקת לך הגנה לכל מה שתבנה ובכל מצב.
אין לעולם תבנית קבועה שאתה מלביש על הקוד וגמרת סיפור, הכל מאובטח.

צריך למקד את השאלה: באילו מקרים אנו נשתמש ב SESSION, COOKIES, HASH, MD5, DB וכד'...

מה גם שכל מתכנת יש לו ראיה שונה, יש כאלו שיעדיפו X ואחרים Y, כל אחד והניסיון שלו...

אתה צודק חנן, ואני מודע לכך שכל מערכת היא שונה
ואין דבר כזה מעטפת אבטחה לכל מערכת שתבנה..
והינה עזרת לי ומיקדת את השאלי שלי, כמו שרציתי לשאול.

AlmogBaku · 17-11-09, 13:56

תהיה ממוקד יותר, cookie מיועד למטרה מסויימת session למטרה אחרת וREFERRER נמקם במקום אחר.
אבטחה זה דבר גדול.

על רגל אחת-
אתר מאובטח טוב זה אתר שכתוב טוב- בלי קיצורי דרך, נקי, יפה, לוגי, מודולארי, ניתן לפירוק, כתוב חכם, יעיל. מתכנת שעובד בצורה כזו בדרך כלל גם יבריח כמו שצריך את המידע שלו.

intercooler3819 · 17-11-09, 16:48

תמקד קצת את השאלה ואני אשמח לעזור לך...

בגדול מה שאתה צריך לעשות כדי לאבטח אתר אינטרנט זה לדאוג לוודא קלט ולסנן קלט וכשאני אומר קלט אני מדבר על כל מה שנדחף בבקשת http שמגיעה מהדפדפן של הלקוח (מבחינתך אתה צריך להתייחס ל get ול post באותו אופן כי בתוך הבקשה הם אותו דבר...)

16-11-09, 22:36	# 1
SniR-S חבר מתקדם מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 546	כבר כמה זמן שעולה לי בראש הנושא "אבטחת אתר" בכוונה שמתי בתוך גרשיים, אני לא אפרט, הרוב יבינו וכל אחד יקח את זה לאיזה כיוון שבא לו. בכל מקרה, מה שאני רוצה לשאול, זה שאלות שאנשים שואלים כאן בפורום, וכל אחד עונה משהו אחר, סגנון דומה וכולם משתמשים בהגנות זהות, וכמובן כל אחד עם השיטות המקוריות שלו.. שמתי לב, שחלק אומרים ע"י COOKIE חלק SESSION ו HTTP_REFFER ועוד .. הייתי רוצה לדעת, עם מה כל אחד משתמש ואיך, הכוונה היא, שמה אתם עושים עם ה COOKIE / SESSION לדוגמא להוסיף וליעל את רמת אבטחת האתר, ולהפחית את יכולת הפריצה לו . כנ"ל עם HTTP_REFFER. אני מודע לכך, שאפשר להעביר המון המון נתונים דרך הפונקציות האלה, אבל פחות או יותר, הייתי רוצה לשמוע מכל אחד ואחד עם מה הוא משתמש וקצת פירוט על דרך העבודה, כמובן לא את הקוד שלכם, אבל שיטות מסויימות שאתם מכירים .

16-11-09, 23:40	# 2
Slash חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 36 הודעות: 522	אני חייב לציין שSESSION וCOOKIE וכל האמצעי שמירת נתונים האלה , הם רק מעטפה אחת , על מנת באמת לאבטח את הנתונים צריכים להיות עוד עטיפות , כדוגמת הצפנה , HASH , אבטחת מקור ועוד דברים אחרים. סשן ועוגיות לא מהווים שיטה לאבטחת הנתונים מכיוון שכל אדם שיושב באמצע יכול להסניף את הנתונים ולקבל אותם כמו שהם . חוץ מזה שלSESSION ועוגיה , יש משמעויות אחרות לגמרה . סשן נועד לשמור פרטים בצד השרת לזמן קצר ולהתחברות עצמה , עוגיה נועדה לשמור פרטים אודות המשתמש גם לחיבורי העתיד בצד הבית. __________________ Aziza Web Magazine Always account for variable change

16-11-09, 23:54	# 3
Hanan משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Sep 2006 גיל: 38 הודעות: 841	לדעתי השאלה היא לא רלוונטית, כל מערכת באתר / תוכנה / אפליקציה, יכולת האבטחה שלה היא שונה. זוהי שאלה כללית מדי שאי אפשר להשיב עליה. כל נושא האבטחה מתבסס על סמך מה שבנית ולא על מעטפת קבועה שמספקת לך הגנה לכל מה שתבנה ובכל מצב. אין לעולם תבנית קבועה שאתה מלביש על הקוד וגמרת סיפור, הכל מאובטח. צריך למקד את השאלה: באילו מקרים אנו נשתמש ב SESSION, COOKIES, HASH, MD5, DB וכד'... מה גם שכל מתכנת יש לו ראיה שונה, יש כאלו שיעדיפו X ואחרים Y, כל אחד והניסיון שלו... __________________ פרוייקטים: חדשות, קייטרינג, מילים לשירים, זר מתוק בניית אתרים - Wise Group Media LTD Last edited by Hanan; 16-11-09 at 23:58..

17-11-09, 16:48	# 6
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	תמקד קצת את השאלה ואני אשמח לעזור לך... בגדול מה שאתה צריך לעשות כדי לאבטח אתר אינטרנט זה לדאוג לוודא קלט ולסנן קלט וכשאני אומר קלט אני מדבר על כל מה שנדחף בבקשת http שמגיעה מהדפדפן של הלקוח (מבחינתך אתה צריך להתייחס ל get ול post באותו אופן כי בתוך הבקשה הם אותו דבר...) __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

17-11-09, 13:56	# 5
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	תהיה ממוקד יותר, cookie מיועד למטרה מסויימת session למטרה אחרת וREFERRER נמקם במקום אחר. אבטחה זה דבר גדול. על רגל אחת- אתר מאובטח טוב זה אתר שכתוב טוב- בלי קיצורי דרך, נקי, יפה, לוגי, מודולארי, ניתן לפירוק, כתוב חכם, יעיל. מתכנת שעובד בצורה כזו בדרך כלל גם יבריח כמו שצריך את המידע שלו.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)