שאלה בקשר להשארת המשתמש מחובר - הוסטס

morsrh · 01-01-12, 17:32

אהלן ,

אני בימים האחרונים עובד על מערכת ויצא לי לכתוב מחדש את המערכת משתמשים ועולים לי כמה שאלות

אם אני ישלוף את העמודה של המשתמש אל תוך סשין (רק העמודה של הססמא מוצפנת כרגע ) ואז אני יצור עוגיות של אימות המשתמש ואל תוך העוגיות האלו אני יכניס את הנתונים המוצפנים שאני צריך כדי לאמת את המשתמש
אם נניח שההצפנה שלי היא ייחודית ואין בעיה מהצד הזה , כל הרעיון הזה נראה בסדר או שיכול להיות שיש חורי אבטחה בכל הרעיון הזה

כל הרעיון זה במקום לפנות למסד בכל התחברות זה לפנות לסשן במקום

מה אומרים? תודה ,

HOLD · 01-01-12, 21:25

מה הסיבה להצפין את העוגיה אם בכל מקרה כל אחד יכול להעתיק אותה ולהשתמש בה?

morsrh · 02-01-12, 00:41

הסיבה היא מכיוון שמתי שהמשתמש סוגר את הדפדפן ואז נכנס בחזרה הסשין נמחק
אז המשתמש יתחבר עוד פעם? לא , אלה שמתוך העוגיות אני יוציא את הנתונים שאני צריך כדי לקבוע את הסשין מחדש

בסה"כ אפשר לנעול את האשכול , הקוד ע"פ התכנון הזה עובד נפלא!

AlmogBaku · 10-01-12, 10:16

אל תנסה להמציא את הגלגל. סשן לא נועד לחיבורים!
סשן נועד לשמירת מידע זמני: למשל הגעתי לאתר דרך אתר אחר.. כל זמן השיטוט באתר הסשן יזכור מי הפנה אותי, ובמעמד התשלום הוא ייתן קרדיט למפנה.

למעשה הסשנים לא כל כך יעילים היום, וכמעט ולא משתמשים בהם. אל תגן על המשתמש בפני עצמו!

ואל תתקמצן על שאילתות שאתה במילא עושה.. אתה גם ככה שולף את הפרטי משתמש.. אז אל תתקמצן על שאילתות.

**פותח האשכול אומנם פתר את הבעיה, אבל חשוב שעהיה פתרון נכון. כרגע הוא סתם בזהז משאבים ויצר מערכת עקומה עם פתח לפרצות אבטחה.

01-01-12, 17:32	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	שאלה בקשר להשארת המשתמש מחובר אהלן , אני בימים האחרונים עובד על מערכת ויצא לי לכתוב מחדש את המערכת משתמשים ועולים לי כמה שאלות אם אני ישלוף את העמודה של המשתמש אל תוך סשין (רק העמודה של הססמא מוצפנת כרגע ) ואז אני יצור עוגיות של אימות המשתמש ואל תוך העוגיות האלו אני יכניס את הנתונים המוצפנים שאני צריך כדי לאמת את המשתמש אם נניח שההצפנה שלי היא ייחודית ואין בעיה מהצד הזה , כל הרעיון הזה נראה בסדר או שיכול להיות שיש חורי אבטחה בכל הרעיון הזה כל הרעיון זה במקום לפנות למסד בכל התחברות זה לפנות לסשן במקום מה אומרים? תודה , Last edited by morsrh; 01-01-12 at 18:13..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

01-01-12, 21:25	# 2
HOLD חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 623	מה הסיבה להצפין את העוגיה אם בכל מקרה כל אחד יכול להעתיק אותה ולהשתמש בה?

02-01-12, 00:41	# 3
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	הסיבה היא מכיוון שמתי שהמשתמש סוגר את הדפדפן ואז נכנס בחזרה הסשין נמחק אז המשתמש יתחבר עוד פעם? לא , אלה שמתוך העוגיות אני יוציא את הנתונים שאני צריך כדי לקבוע את הסשין מחדש בסה"כ אפשר לנעול את האשכול , הקוד ע"פ התכנון הזה עובד נפלא!

10-01-12, 10:16	# 4
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אל תנסה להמציא את הגלגל. סשן לא נועד לחיבורים! סשן נועד לשמירת מידע זמני: למשל הגעתי לאתר דרך אתר אחר.. כל זמן השיטוט באתר הסשן יזכור מי הפנה אותי, ובמעמד התשלום הוא ייתן קרדיט למפנה. למעשה הסשנים לא כל כך יעילים היום, וכמעט ולא משתמשים בהם. אל תגן על המשתמש בפני עצמו! ואל תתקמצן על שאילתות שאתה במילא עושה.. אתה גם ככה שולף את הפרטי משתמש.. אז אל תתקמצן על שאילתות. **פותח האשכול אומנם פתר את הבעיה, אבל חשוב שעהיה פתרון נכון. כרגע הוא סתם בזהז משאבים ויצר מערכת עקומה עם פתח לפרצות אבטחה.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)