הרשם שאלות ותשובות רשימת חברים לוח שנה חיפוש הודעות מהיום סמן פורומים כנקראו

   
|!|

השב
עמוד 3 מתוך 3 12 3
 
כלים לאשכול תצורת הצגה
ישן 29-07-06, 10:43   # 21
eLad
Fatal Error
 
eLad's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: localhost
גיל: 38
הודעות: 1,968

eLad לא מחובר  

ציטוט:
נכתב במקור על ידי DreaMonster
דבר ראשון מה זה XSS?

דבר שני...אאההההם...המטרות דומות...עכשיו בזכות האף הכחול (עומר) יש לי עכשיו דרך מעולה..אני לא יספר עליה...מטעמי מבטיחות אבל זה קשור בבדיקה אם המשתמש כיבה עוגיות

ובכן....אני ישמח אם תענו לי בקשר לXSS...בקשר לשאר, הכל פתור
Cross Site Scripting

ומה זו בדיוק השיטה הכי מאובטחת?
__________________
eLad
  Reply With Quote
ישן 29-07-06, 11:13   # 22
-VladK-
הוסטסניון
 
-VladK-'s Avatar
 
מיני פרופיל
תאריך הצטרפות: Apr 2006
גיל: 34
הודעות: 2,182

-VladK- לא מחובר  

ציטוט:
נכתב במקור על ידי eLad
Cross Site Scripting

ומה זו בדיוק השיטה הכי מאובטחת?
למה משמש הXSS? וזו לא השיטה הכי מאובטחת...כי כמעט כל שיטה אפשר לפרוץ...השאלה אם מגלים אותה...השיטה שלי זה שילוב של כמעט כל מה שאמרתם פה, עם כמה עצות של חברים טובים...וכמה רעיונות שהמצאתי ביחד זה יוצא מערכת קצת מסורבלת אבל לפחות יעילה.....
  Reply With Quote
ישן 29-07-06, 11:34   # 23
AFI
חסום
 
מיני פרופיל
תאריך הצטרפות: Nov 2005
הודעות: 730
שלח הודעה באמצעות ICO אל AFI

AFI לא מחובר  

מה שאני בדרך כלל עושה זה שילוב של סישן ועוגיות אבל בצורה שהבדיקה נבדקת אך ורק מהסישן.
הסבר על שיטת העבודה:
יצירת דף אימות שיעשה את כל הפועולות של הבדיקה, הדף הזה יוכנס בכל חלק עליון של כל דף אחר.
מה שעושים בקובץ זה מאמתים רק דרך סישן, בכל כניסה לדף מסויים מתבצעת בדיקה האם קיים סישן, אם קיים מבוצע אימות של הפרטים בסישן ביחד עם הפרטים במסד, אם עבר בהצלחה בודק אם יש עוגיות ואם אין יוצר אותם (עוגיות עם שם משתמש וסיסמה כמובן) לאחר מיכן נותן לו לראות את שאר הדף.
במידה ולא קיים סישן המערכת בודקת עם קיימת עוגיה, את העוגיה המערכת הופכת לסישן ומרעננת את הדף.
במידה ולא קיים לא סישן ולא עוגיה נשלח בקשה להכנסת שם משתמש וסיסמה, אם אומתו נכון נוצר סישן ועוגייה והדף מרופרש.

זאת שיטה מאובטחת,
שיהיה בהצלחה.
  Reply With Quote
ישן 29-07-06, 12:18   # 24
RS324
תודה על תרומתך.
 
מיני פרופיל
תאריך הצטרפות: May 2006
הודעות: 3,173

RS324 לא מחובר  

דבר ראשון, אני לא משתמש ב SESSION המובנה ב PHP, אני משתמש במערכת נפרדת שבניתי של SESSION ב DB שבעזרתה אפשר לנטר גם פעילות במערכת ועוד כמה דברים (כמו כמה משתמשים מחוברים עכשיו ?)
בכל מקרה, אני שומר כזה דבר ב SESSION :
useragent
userip
loggedin
lastvisit
userid
sessionid

אני מגדיר בכל מערכת SESSION_TIMEOUT שאני רוצה לדוגמא 3600 - שעה
וגם אני מגדיר בכל מערכת COOKIE_SECURITY_SALT
ואז על העוגיה אני שומר USERID
וסיסמא, כאשר את הסיסמא (שהיא גם ככה מוצפנת) עוברת הצפנה נוספת והפעם בתופסת של התווים שהגדרתי בקבצי מערכת.
לדוגמא :
securitycode = o21ki399fd3r3n4pls;ldk0e3`dfdl

עכשיו אני לוקח את הסיסמא ועושה
md5($securitycode.$password.$securitycode)
עכשיו ה SESSION VALID לשעה בערך

ואז כשאני בודק את הCOOKIE אני משווה אותו מול ה DB כל פעם
כמובן שלהצפנה יש אין סוף אפשרויות,
ואז כשאני בודק את המשתמש
ואז אני בודק את האיפי,את הדפדפן,את העוגיות ואת הכל מול המסד נתונים

אם השתנה לו האיפי תוך שעה ? אז שיתחבר מחדש - לפעמים יש אפשרות שהוא מזהה את הכל נכון ומעדכן את SESSION עם האיפי החדש.

בכל מקרה אני מגדיר את ה TIMEOUT לשעה ככה שזה לא קריטי לי

קיצר יש לי מערכת בת-*** לזה, ורק 2 שאילתות לדף
בכל
  Reply With Quote
השב
עמוד 3 מתוך 3 12 3

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

« אשכול קודם | אשכול הבא »
כלים לאשכול
תצורת הצגה
עבור למצב קווי עבור למצב קווי

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה
קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 19:49.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ
- שרת ייעודי - מדריך בניית אתרים - צור קשר - הוסטס - אחסון אתרים - ארכיון - ראשי