[בניה]

ציטוט:

נכתב במקור על ידי MasterNir

בגלל זה אמרתי, תכניס טווח, את שני מהספרים הראשונים של ה-IP... הם נשמרים לכל משתמש גם כשהוא מתחבר מחדש ומחליף IP. אם אני לא טועה זה שני המספרים הראשונים, אבל יכול להיות שרק הראשון.

בקשר לעוגיות לא מאובטחות, הסיכון גדול מכיוון שאפשר להזריק סקריפטי JS בשביל לגנוב את העוגיות מהאתר שלך, אם אתה מגן מהכנסת JS אתה דיי מוגן ואין לך ממש מה לדאוג, רק לקוות שהמשתמש מגן על עצמו.

בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון.
וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.

ב"ה


השיטה של אלעד היא הכי טובה.
אצלי שום דבר מהIP לא בטוח נשאר. לפעמים קורה שמקבלים IP דומה אבל זה פוקס וככה זה ברוב הספקיות.
ברגע שמשתמשים בעוגיות אז נחשפים לגניבת עוגיות והשיטה של אלעד היא הכי הגיונית.
השיטה של הIP לא שווה כי כל התחברות לאינטרנט והמשתמש מתנתק.

[MasterNir]

לא ענית לי אפילו, רק אמרת את החסרונות של ההגנה לפי IP, ושהשיטה של אלעד הכי טובה. הרעיון מקורי, אבל בשיטה שלו אתה מכיר ומודע שיהיו כניסות על ידי הפורץ. אתה רק אומר שבפעם הבאה שהמשתמש יתנתק ויתחבר הפורץ יצטרך לגנוב את העוגיה שוב.

שתי בעיות:
1. למה שמשתמש יתנתק ויתחבר? המטרה של העוגיות היא לאפשר לו לא להתחבר כל פעם מחדש.
2. מה ימנע מהפורץ לגנוב את העוגיה שוב, כמו שעשה קודם, ולקבל שוב גישה עד שהמשתמש יתחבר מחדש (בהנחה שיעשה את זה מתי שהו, מכיון שאין לו שום סיבה לעשות את זה)

ובקשר ל-IP, לכל ספקית אינטרנט יש טווח מסויים, שלא בעיה להשיג. אתה בודק שהמשתמש נמצא בתוך הטווח וכבר הוצאת את כל הפריצות מספקי אינטרנט שונים מאלו של המשתמש. מכיוון שיש בארץ מעל 10 ספקים (חלקם גדולים יותר ולחלקם גדולים פחות) אפשר להניח ששללת כ-80 אחוז מהפריצות.