הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
28-05-06, 14:34 | # 11 | |
משתמש - היכל התהילה
|
ציטוט:
לאו דווקא. אם הפרטים נכונים אז הוא ישתול את אותה עוגיה גם במחשב השני. רק אם יתנתקו במחשב אחד גם המחשב השני יתנתק אבל זה באמת בכלל לא מזיק.
__________________
קו ישר, כי אפשר גם אחרת |
|
28-05-06, 15:03 | # 12 | |
חבר פורום
|
ציטוט:
בקשר לעוגיות לא מאובטחות, הסיכון גדול מכיוון שאפשר להזריק סקריפטי JS בשביל לגנוב את העוגיות מהאתר שלך, אם אתה מגן מהכנסת JS אתה דיי מוגן ואין לך ממש מה לדאוג, רק לקוות שהמשתמש מגן על עצמו. בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון. וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.
__________________
ניר, מתכנת PHP מקצועי עם ידע ויכולות מוכחות. צור קשר: MSN Messanger: MasterNir@gmail.com E-mail: MasterNir@gmail.com ICQ #: 171963672 |
|
28-05-06, 15:08 | # 13 | |
משתמש - היכל התהילה
|
ציטוט:
השיטה של אלעד היא הכי טובה. אצלי שום דבר מהIP לא בטוח נשאר. לפעמים קורה שמקבלים IP דומה אבל זה פוקס וככה זה ברוב הספקיות. ברגע שמשתמשים בעוגיות אז נחשפים לגניבת עוגיות והשיטה של אלעד היא הכי הגיונית. השיטה של הIP לא שווה כי כל התחברות לאינטרנט והמשתמש מתנתק.
__________________
קו ישר, כי אפשר גם אחרת |
|
28-05-06, 15:15 | # 14 |
חבר פורום
|
לא ענית לי אפילו, רק אמרת את החסרונות של ההגנה לפי IP, ושהשיטה של אלעד הכי טובה. הרעיון מקורי, אבל בשיטה שלו אתה מכיר ומודע שיהיו כניסות על ידי הפורץ. אתה רק אומר שבפעם הבאה שהמשתמש יתנתק ויתחבר הפורץ יצטרך לגנוב את העוגיה שוב.
שתי בעיות: 1. למה שמשתמש יתנתק ויתחבר? המטרה של העוגיות היא לאפשר לו לא להתחבר כל פעם מחדש. 2. מה ימנע מהפורץ לגנוב את העוגיה שוב, כמו שעשה קודם, ולקבל שוב גישה עד שהמשתמש יתחבר מחדש (בהנחה שיעשה את זה מתי שהו, מכיון שאין לו שום סיבה לעשות את זה) ובקשר ל-IP, לכל ספקית אינטרנט יש טווח מסויים, שלא בעיה להשיג. אתה בודק שהמשתמש נמצא בתוך הטווח וכבר הוצאת את כל הפריצות מספקי אינטרנט שונים מאלו של המשתמש. מכיוון שיש בארץ מעל 10 ספקים (חלקם גדולים יותר ולחלקם גדולים פחות) אפשר להניח ששללת כ-80 אחוז מהפריצות.
__________________
ניר, מתכנת PHP מקצועי עם ידע ויכולות מוכחות. צור קשר: MSN Messanger: MasterNir@gmail.com E-mail: MasterNir@gmail.com ICQ #: 171963672 |
28-05-06, 15:36 | # 15 |
הוסטסניון
|
אהההם אני לא ממש יודע אם זה אפשרי...אבל נגיד והתחברתי עכשיו...יצרתי עוגיות והן נשמרו לי במחשב...אוקיי הכל טוב ויפה עכשיו משהו אכן פרץ לי ולקח תעוגיות...אז מה דעתכם לעשות כך שאם העוגיות במחשב הזה של הנפרץ עדיין קיימות אז אי אפשר להשתמש באלא שנלקחו אבל אם הן לא קיימות אז לא צריך להתחבר...למרות שאם זה שפרץ יעתיק ואז ימחוק הכל אז זו כבר בעיה...
|
28-05-06, 16:20 | # 16 |
משתמש תחת חוזה ניסיון.
|
שוב, אתם לא שמים לב למה שאני אומר,
IP פה לא רלוונטי מכיוון שאם משתמש נכנס ממחשב אחר של דודה שלו או של סבתא שלו או לא יודע מה שהטווח הרי שונה, וכנ"ל לקודים בעוגיות.. צריך לאפשר "חופש" למשתמש. עוד שאלה, איך מונעים הזרקת JS?
__________________
|
28-05-06, 17:17 | # 17 | ||
Fatal Error
|
ציטוט:
בעת ההרשמה של הגולש יוצרים לו מחרוזת רנדומאלית שאותה אתה שומר בעוגייה מוצפנת עם ה userID או ה userName מוצפנים אף הם. כל פעם שהגולש מתחבר אתה מאמת את שני הפרמטרים האלו מול המסד ובמידה ואושר אז אתה נותן לו session ומעתה והלאה, בכל השהות שלו באתר שלך (בפרק הזמן הזה) תשתמש ב session כי הגישה אליו מהירה הרבה יותר מאשר לעוגייה. העוגייה תשאר במחשב הגולש עד לפעם הבאה שייכנס לאתר ותצטרך לבצע אימות. בכל התחברות מחדש של הגולש (אחרי התנתקות) אתה יוצר לו מספר רנדומאלי חדש ואותו שומר בעוגייה. במידה והעוגייה תגנב, כל מה שיש לעשות הוא להתנתק ולהתחבר מחדש ואז העוגייה שבידי הפורץ לא תהיה שמישה ציטוט:
ואם השיטה שלי לא יעילה (או לא בטוחה), אתה מוזמן להציע אחת אחרת שתניח את הדעת. אני (ועוד רבים אחרים), לא מצאנו.
__________________
eLad |
||
28-05-06, 17:32 | # 18 | |
משתמש תחת חוזה ניסיון.
|
ממ יש משו שלא הבנתי ממש..
ציטוט:
__________________
|
|
28-05-06, 17:41 | # 19 | |
Fatal Error
|
ציטוט:
במידה והם שווים אז מדובר באותו בחור
__________________
eLad |
|
28-05-06, 19:50 | # 20 |
משתמש תחת חוזה ניסיון.
|
אבל להריץ הצפנה לכל המשתמשים זה קצת קצת קצת הזוי
__________________
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|