הרשם שאלות ותשובות רשימת חברים לוח שנה חיפוש הודעות מהיום סמן פורומים כנקראו

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 29-07-06, 07:57   # 1
WebProject
מ.תיכנות
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: אשדוד
הודעות: 3,070
Send a message via Skype™ to WebProject

WebProject לא מחובר  

פשוט, כמו שאמר עומר, עוגיות וסשן, לדוגמא, עכשיו במערכת הCMS החדשה שלי, בניתי מודול להתחברות, ושמה פשוט יש כפתור "זכור אותי", אם המשתמש לא בחר את התיבה, הוא יתחבר בעזרת סשן, וכמו ההגדרה של סשן, לאחר סגירת הדפדפן, הסשן ימחק, והמשתמש יתנתק =]
__________________
כושר קרבי \ טיפים לגיבושים



פורטל רעל - צבא וכושר קרבי
  Reply With Quote
ישן 29-07-06, 08:12   # 2
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

ציטוט:
נכתב במקור על ידי WebProject
פשוט, כמו שאמר עומר, עוגיות וסשן, לדוגמא, עכשיו במערכת הCMS החדשה שלי, בניתי מודול להתחברות, ושמה פשוט יש כפתור "זכור אותי", אם המשתמש לא בחר את התיבה, הוא יתחבר בעזרת סשן, וכמו ההגדרה של סשן, לאחר סגירת הדפדפן, הסשן ימחק, והמשתמש יתנתק =]
בעעע... לא רוצה להשתמש בעוגיות...אבל אין לי ברירה...טוב אההההם יש לכם רעיונות כיצד אפשר לאבטח שימוש בעוגיות?

אני חשבתי על משהו בסגנון:
מאחר ואני שומר את הID של המשתמש שעליו הוא התחבר בעוגיה....אז כדי שלא יוכלו לערוך את העוגיה ולהערוך שם את הID...אז להצפין את הID בעזרת הצפנה דו כיוונית....עכשיו...אהההההם...

עכשיו...יש את הסיכון שהעוגיות יגנבו...כיצד ניתן למנוע זאת...כאילו שימוש בעוגיות גנובות...
  Reply With Quote
ישן 29-07-06, 08:15   # 3
WebProject
מ.תיכנות
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: אשדוד
הודעות: 3,070
Send a message via Skype™ to WebProject

WebProject לא מחובר  

ציטוט:
נכתב במקור על ידי DreaMonster
בעעע... לא רוצה להשתמש בעוגיות...אבל אין לי ברירה...טוב אההההם יש לכם רעיונות כיצד אפשר לאבטח שימוש בעוגיות?

אני חשבתי על משהו בסגנון:
מאחר ואני שומר את הID של המשתמש שעליו הוא התחבר בעוגיה....אז כדי שלא יוכלו לערוך את העוגיה ולהערוך שם את הID...אז להצפין את הID בעזרת הצפנה דו כיוונית....עכשיו...אהההההם...

עכשיו...יש את הסיכון שהעוגיות יגנבו...כיצד ניתן למנוע זאת...כאילו שימוש בעוגיות גנובות...
לא הבנתי ממה אתה רוצה להגן אותה? משינו הID לID של משתמש אחר?

כי אם כן, תריץ פונקציה פשוט, שתתאים את העוגייה של הID לעוגייה של הסיסמא..
__________________
כושר קרבי \ טיפים לגיבושים



פורטל רעל - צבא וכושר קרבי
  Reply With Quote
ישן 29-07-06, 08:22   # 4
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

סתכל....בגרסא הקודמת של המערכת שלי הID של המשתמש נשמר בעוגיה
כלומר מי שרוצה...נכנס לעוגיה...עורך את המספר...והופה הוא מחובר כמשתמש אחר
עכשיו אני רוצה שמי שינסה לערוך לא יצליח...אז החלטתי להצפין את הID בהצפנות דו כיווניות

עכשיו...

יש את הסיכון שיפרצו למחשב של משהו

ויקחו משם את העוגיות....ואז אותו פורץ יוכל להתחבר למערכת בעזרת העוגיות שהוא גנב....וככה הוא יהיה מוחובר למשתמש של אותו אדם...אני רוצה למנוע שימוש בעוגיות ממחשב אחר....כיצד?
  Reply With Quote
ישן 29-07-06, 08:25   # 5
WebProject
מ.תיכנות
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: אשדוד
הודעות: 3,070
Send a message via Skype™ to WebProject

WebProject לא מחובר  

אממ.... את האמת, אין לי מושג, אבל שוב, מקרה כזה יקרה פעם בהרבה זמן, אם הוא יקרה בכלל =]
__________________
כושר קרבי \ טיפים לגיבושים



פורטל רעל - צבא וכושר קרבי
  Reply With Quote
ישן 29-07-06, 08:29   # 6
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

ציטוט:
נכתב במקור על ידי WebProject
אממ.... את האמת, אין לי מושג, אבל שוב, מקרה כזה יקרה פעם בהרבה זמן, אם הוא יקרה בכלל =]
עכשיו...שימוש בIP כבר יהיה מיותר...כי אם היתי רוצה לשמור את הIP אז מה הטעם בזה שאני משתמש בעוגיות אם היתי יכול להשתמש בשיטה הראשונה שלי...אההההם יש עוד מזהים שאפשר להשתמש? תגידו....חוץ מIP...איזה עוד דבר יחודי יש לכל מחשב?
  Reply With Quote
ישן 29-07-06, 10:35   # 7
eLad
Fatal Error
 
eLad's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: localhost
גיל: 38
הודעות: 1,968

eLad לא מחובר  

ציטוט:
נכתב במקור על ידי DreaMonster
סתכל....בגרסא הקודמת של המערכת שלי הID של המשתמש נשמר בעוגיה
כלומר מי שרוצה...נכנס לעוגיה...עורך את המספר...והופה הוא מחובר כמשתמש אחר
עכשיו אני רוצה שמי שינסה לערוך לא יצליח...אז החלטתי להצפין את הID בהצפנות דו כיווניות

עכשיו...

יש את הסיכון שיפרצו למחשב של משהו

ויקחו משם את העוגיות....ואז אותו פורץ יוכל להתחבר למערכת בעזרת העוגיות שהוא גנב....וככה הוא יהיה מוחובר למשתמש של אותו אדם...אני רוצה למנוע שימוש בעוגיות ממחשב אחר....כיצד?
סיכוי יותר גדול שימצאו לך באתר XSS מאשר שיפרצו למחשב של מישהו.

ואף פעם לא שומרים רק נתון אחד בעוגיה לביצוע אימות, אלא תמיד שומרים שניים או יותר.

ואני לא מבין את הבעיה בין לבחור SESSION או COOKIE, המטרות שלהם שונות בתכלית.
__________________
eLad
  Reply With Quote
ישן 29-07-06, 10:41   # 8
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

ציטוט:
נכתב במקור על ידי eLad
סיכוי יותר גדול שימצאו לך באתר XSS מאשר שיפרצו למחשב של מישהו.

ואף פעם לא שומרים רק נתון אחד בעוגיה לביצוע אימות, אלא תמיד שומרים שניים או יותר.

ואני לא מבין את הבעיה בין לבחור SESSION או COOKIE, המטרות שלהם שונות בתכלית.
דבר ראשון מה זה XSS?

דבר שני...אאההההם...המטרות דומות...עכשיו בזכות האף הכחול (עומר) יש לי עכשיו דרך מעולה..אני לא יספר עליה...מטעמי מבטיחות אבל זה קשור בבדיקה אם המשתמש כיבה עוגיות

ובכן....אני ישמח אם תענו לי בקשר לXSS...בקשר לשאר, הכל פתור
  Reply With Quote
ישן 29-07-06, 10:43   # 9
eLad
Fatal Error
 
eLad's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: localhost
גיל: 38
הודעות: 1,968

eLad לא מחובר  

ציטוט:
נכתב במקור על ידי DreaMonster
דבר ראשון מה זה XSS?

דבר שני...אאההההם...המטרות דומות...עכשיו בזכות האף הכחול (עומר) יש לי עכשיו דרך מעולה..אני לא יספר עליה...מטעמי מבטיחות אבל זה קשור בבדיקה אם המשתמש כיבה עוגיות

ובכן....אני ישמח אם תענו לי בקשר לXSS...בקשר לשאר, הכל פתור
Cross Site Scripting

ומה זו בדיוק השיטה הכי מאובטחת?
__________________
eLad
  Reply With Quote
ישן 29-07-06, 11:13   # 10
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

ציטוט:
נכתב במקור על ידי eLad
Cross Site Scripting

ומה זו בדיוק השיטה הכי מאובטחת?
למה משמש הXSS? וזו לא השיטה הכי מאובטחת...כי כמעט כל שיטה אפשר לפרוץ...השאלה אם מגלים אותה...השיטה שלי זה שילוב של כמעט כל מה שאמרתם פה, עם כמה עצות של חברים טובים...וכמה רעיונות שהמצאתי ביחד זה יוצא מערכת קצת מסורבלת אבל לפחות יעילה.....
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

כלים לאשכול
תצורת הצגה

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה

קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 01:15.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ