העמממ :| אבטחת עוגיה? - הוסטס

sUP · 27-05-06, 22:13

יש רעיונות לעשות אבטחה כלשהי למתחברים לאתר?
שלא ישתמשו להם במשתמשים וזה..

Alter · 27-05-06, 22:30

בדיקה עם איי פי שהאייפי שאתה משתמש בו עכשיו הוא באמת האייפי שכתוב בעוגיה?
קצת לא יעיל , כי אפשר לשנות אייפי ואם האיפי משתנה אז נדפקים , אבל אין לי ממש רעיונות.
אולי הצפנה של המספר משתמש והסיסמא =\

-VladK- · 28-05-06, 06:07

מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

MasterNir · 28-05-06, 10:37

ציטוט:

נכתב במקור על ידי CriSis

מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

אבל אז אתה מאבד את כל האפקט של העוגיה...

אתה יכול לבדוק IP כמו שהבחור ההוא אמר או שאתה יכול לבדוק את הטווח של ה-IP.
אתה יכול ליצור עוד עוגיה שתאשר את השימוש בעוגיה בשביל להתחבר, כך הפורץ יצטרך לדעת לגנוב את שתי העוגיות ולא רק אחת.

אבל בגדול אבטחת עוגיות נעשת בעיקר בצד הלקוח, אתה לא יכול לעשות הרבה.

sUP · 28-05-06, 11:59

הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!

Alter · 28-05-06, 12:35

ציטוט:

נכתב במקור על ידי sUP

הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!

אי אבטחה של עוגיה פשוט יתן לכל אחד להתחבר לחשבון בלי בעיה.
למשל אני מנהל של האתר שאתה בונה ויש לי במחשב עוגיה שזוכרת את השם משתמש והסיסמא שלי, מישהו פרץ לי למחשב וגנב את העוגיה, שם אצלו בתיקיה הנכונה והופ הוא מנהל לתפארת מדינת הנוכלים.

MasterNir · 28-05-06, 15:03

ציטוט:

נכתב במקור על ידי sUP

הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..

בגלל זה אמרתי, תכניס טווח, את שני מהספרים הראשונים של ה-IP... הם נשמרים לכל משתמש גם כשהוא מתחבר מחדש ומחליף IP. אם אני לא טועה זה שני המספרים הראשונים, אבל יכול להיות שרק הראשון.

בקשר לעוגיות לא מאובטחות, הסיכון גדול מכיוון שאפשר להזריק סקריפטי JS בשביל לגנוב את העוגיות מהאתר שלך, אם אתה מגן מהכנסת JS אתה דיי מוגן ואין לך ממש מה לדאוג, רק לקוות שהמשתמש מגן על עצמו.

בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון.
וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.

בניה · 28-05-06, 15:08

ציטוט:

נכתב במקור על ידי MasterNir

בגלל זה אמרתי, תכניס טווח, את שני מהספרים הראשונים של ה-IP... הם נשמרים לכל משתמש גם כשהוא מתחבר מחדש ומחליף IP. אם אני לא טועה זה שני המספרים הראשונים, אבל יכול להיות שרק הראשון.

בקשר לעוגיות לא מאובטחות, הסיכון גדול מכיוון שאפשר להזריק סקריפטי JS בשביל לגנוב את העוגיות מהאתר שלך, אם אתה מגן מהכנסת JS אתה דיי מוגן ואין לך ממש מה לדאוג, רק לקוות שהמשתמש מגן על עצמו.

בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון.
וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.

ב"ה

השיטה של אלעד היא הכי טובה.
אצלי שום דבר מהIP לא בטוח נשאר. לפעמים קורה שמקבלים IP דומה אבל זה פוקס וככה זה ברוב הספקיות.
ברגע שמשתמשים בעוגיות אז נחשפים לגניבת עוגיות והשיטה של אלעד היא הכי הגיונית.
השיטה של הIP לא שווה כי כל התחברות לאינטרנט והמשתמש מתנתק.

MasterNir · 28-05-06, 15:15

לא ענית לי אפילו, רק אמרת את החסרונות של ההגנה לפי IP, ושהשיטה של אלעד הכי טובה. הרעיון מקורי, אבל בשיטה שלו אתה מכיר ומודע שיהיו כניסות על ידי הפורץ. אתה רק אומר שבפעם הבאה שהמשתמש יתנתק ויתחבר הפורץ יצטרך לגנוב את העוגיה שוב.

שתי בעיות:
1. למה שמשתמש יתנתק ויתחבר? המטרה של העוגיות היא לאפשר לו לא להתחבר כל פעם מחדש.
2. מה ימנע מהפורץ לגנוב את העוגיה שוב, כמו שעשה קודם, ולקבל שוב גישה עד שהמשתמש יתחבר מחדש (בהנחה שיעשה את זה מתי שהו, מכיון שאין לו שום סיבה לעשות את זה)

ובקשר ל-IP, לכל ספקית אינטרנט יש טווח מסויים, שלא בעיה להשיג. אתה בודק שהמשתמש נמצא בתוך הטווח וכבר הוצאת את כל הפריצות מספקי אינטרנט שונים מאלו של המשתמש. מכיוון שיש בארץ מעל 10 ספקים (חלקם גדולים יותר ולחלקם גדולים פחות) אפשר להניח ששללת כ-80 אחוז מהפריצות.

eLad · 28-05-06, 17:17

ציטוט:

נכתב במקור על ידי MasterNir

בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון.

העוגייה לא מחליפה עצמה. העניין הוא גם די פשוט לביצוע והמאובטח ביותר שקיים -

בעת ההרשמה של הגולש יוצרים לו מחרוזת רנדומאלית שאותה אתה שומר בעוגייה מוצפנת עם ה userID או ה userName מוצפנים אף הם.

כל פעם שהגולש מתחבר אתה מאמת את שני הפרמטרים האלו מול המסד ובמידה ואושר אז אתה נותן לו session ומעתה והלאה, בכל השהות שלו באתר שלך (בפרק הזמן הזה) תשתמש ב session כי הגישה אליו מהירה הרבה יותר מאשר לעוגייה. העוגייה תשאר במחשב הגולש עד לפעם הבאה שייכנס לאתר ותצטרך לבצע אימות.

בכל התחברות מחדש של הגולש (אחרי התנתקות) אתה יוצר לו מספר רנדומאלי חדש ואותו שומר בעוגייה.

במידה והעוגייה תגנב, כל מה שיש לעשות הוא להתנתק ולהתחבר מחדש ואז העוגייה שבידי הפורץ לא תהיה שמישה

ציטוט:

נכתב במקור על ידי MasterNir

וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.

במידה והפורץ קיבל גישה, לא האלגוריתם של העוגייה הוא זה שנכשל, אלא התכנות של האתר שלך נכשל כי יש בו XSS. ואין דרך פרקטית להתמודד דרך זה אלא אם כן אתה סותם את ה XSS

ואם השיטה שלי לא יעילה (או לא בטוחה), אתה מוזמן להציע אחת אחרת שתניח את הדעת. אני (ועוד רבים אחרים), לא מצאנו.

27-05-06, 22:13	# 1
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	העמממ :\| אבטחת עוגיה? יש רעיונות לעשות אבטחה כלשהי למתחברים לאתר? שלא ישתמשו להם במשתמשים וזה.. __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

27-05-06, 22:30	# 2
Alter תודה על תרומתך. מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 3,103	בדיקה עם איי פי שהאייפי שאתה משתמש בו עכשיו הוא באמת האייפי שכתוב בעוגיה? קצת לא יעיל , כי אפשר לשנות אייפי ואם האיפי משתנה אז נדפקים , אבל אין לי ממש רעיונות. אולי הצפנה של המספר משתמש והסיסמא =\ __________________ Alter.

28-05-06, 11:59	# 5
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	הממ ה IP זה לא ממש רעיון טוב, מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי, או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה.. -- בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות? או שיש עוד משהו שניתן לעשות? תודה רבה לכל העונים! __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

28-05-06, 15:15	# 9
MasterNir חבר פורום מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 36 הודעות: 122	לא ענית לי אפילו, רק אמרת את החסרונות של ההגנה לפי IP, ושהשיטה של אלעד הכי טובה. הרעיון מקורי, אבל בשיטה שלו אתה מכיר ומודע שיהיו כניסות על ידי הפורץ. אתה רק אומר שבפעם הבאה שהמשתמש יתנתק ויתחבר הפורץ יצטרך לגנוב את העוגיה שוב. שתי בעיות: 1. למה שמשתמש יתנתק ויתחבר? המטרה של העוגיות היא לאפשר לו לא להתחבר כל פעם מחדש. 2. מה ימנע מהפורץ לגנוב את העוגיה שוב, כמו שעשה קודם, ולקבל שוב גישה עד שהמשתמש יתחבר מחדש (בהנחה שיעשה את זה מתי שהו, מכיון שאין לו שום סיבה לעשות את זה) ובקשר ל-IP, לכל ספקית אינטרנט יש טווח מסויים, שלא בעיה להשיג. אתה בודק שהמשתמש נמצא בתוך הטווח וכבר הוצאת את כל הפריצות מספקי אינטרנט שונים מאלו של המשתמש. מכיוון שיש בארץ מעל 10 ספקים (חלקם גדולים יותר ולחלקם גדולים פחות) אפשר להניח ששללת כ-80 אחוז מהפריצות. __________________ ניר, מתכנת PHP מקצועי עם ידע ויכולות מוכחות. צור קשר: MSN Messanger: MasterNir@gmail.com E-mail: MasterNir@gmail.com ICQ #: 171963672


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

28-05-06, 06:07	# 3
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)