הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
22-12-08, 16:55 | # 1 |
עסק רשום [?]
|
התחברות בעזרת אייפי,מה דעתכם?
חשבתי על רעיון לעשות התחברות שבמקום לשמור עוגיות בודקים קוקיז.
זה הולך ככה: כאשר משתמש מתחבר זה מאמת את הפרטים שלו ובמידה והם נכונים הוא מכניס לטבלה של משתמשים שהתחברו את האייפי של המשתמש שהתחבר ואת האיידי של המשתמש שאליו התחבר ובנוסף קוד ראנדומאלי שנשמר על קוקיז. ואז כאשר המשתמש נכנס לאתר בודקים אם קיימת שורה במסד שמכילה את האייפי שלו ובמידה וקיימת היא שולפת את הקוד שנשמר במסד ומאמתת אותו עם הקוקיז על המחשב. במידה והם תואמים בודקים את האיידי ולפי האיידי יודעים לאיזה משתמש הוא מחובר ואם הקודים לא תואמים מוחקים את השורה מהמסד. מה דעתכם? היתרון בזה שלא ניתן לעשות עריכת קוקיז ולפרוץ למשתמשים אבל החסרון זה שאם יש הרבה משתמשים שהתחברו זה מעמיס על האתר אבל אפשר למצוא לזה כמה פתרונות האם יש איזושהיא בעיית אבטחה עם זה? אשמח לשמוע את דעתכם |
22-12-08, 16:59 | # 2 | |
חבר וותיק
|
ציטוט:
דוגמא:המשתמש TEST נכנס עם האיפי 123.123.123.123 לאחר כמה זמן "הפעיל מחדש" את האינטרנט והאייפי שלו הוחלף האייפי הקודם שלו הועבר למשתמש X שבמידה והוא נכנס לפאנל שלך הוא יתחבר כמשתמש TEST
__________________
|
|
22-12-08, 17:16 | # 3 |
חבר מתקדם
|
הדרך הטובה ביותר היא לבצע MD5 על הסיסמא ביחד עם המספר של המשתמש שהתחבר ולשמור בעמודה במסד ובאותו זמן בעוגיה ואז כל הזמן לאמת את זה דרך העוגיה אם קיימת מול העמודה במסד.
|
22-12-08, 17:46 | # 4 | ||
עסק רשום [?]
|
ציטוט:
ציטוט:
צריך עוד קוקיז? |
||
22-12-08, 18:14 | # 5 |
חבר וותיק
|
מה שאתה מציע זה כמו לעשות לוגין בGET
אתה פשוט מקמבן כל מיני משתנים (ID+USER+PASS+SALTER+SALTER2) לתוך איזה UNIQUE STRING את הסטרינג הזה אתה מזרים בכתובת בכל עמוד שבו הוא גולש בכל עמוד אתה מפענח אותה ומוציא ממנה את הסיסמא יוזר וכו' אבל גם לזה יש חסרון (מלבד העובדה שזה עמיד בדפדפנים שונאי קוקיז וכו') - המשתמש העתיק לינק שלח לחבר שלו ובום חבר שלו ביוזר שלו בהצלחה
__________________
|
22-12-08, 18:58 | # 6 | |
עסק רשום [?]
|
ציטוט:
למשתמש זה לא משנה כי הוא לא יודע איך המתכנת גורם לזה שהוא יהיה מחובר לאתר ולו זה יראה כמו כל התחברות אחרת אבל אני בודק אם הוא מחובר לפי האייפי שלו,מסד נתונים שיכיל מידע שאוומר שהוא התחבר,וגם קוקיז עם קוד אימות שמופיע גם במסד שמוכיח שזה הוא וזה לא משהו אחר שקיבל את האייפי שלו. ככה זה בערך כמו סשיין רק שלא נמחק ביציאה מהדפדפן |
|
22-12-08, 19:07 | # 7 | |
חבר וותיק
|
ציטוט:
__________________
|
|
22-12-08, 21:37 | # 9 |
משתמש - היכל התהילה
|
שאלה:למה אתה צריך אבטחה כזו מסורבלת שלא בטוח תועיל במשהו?
אם יש סיכוי שהIP שלו משתנה,אז התיחסות לIP בהתחברות זה דבר מיותר. ואם זו מערכת ממש אבל ממש קריטית אז אפשר לעשות שהוא יעדכן את הIP שלו בFTP או את השם משתמש והסיסמא ואז יתחבר. או לעשות משהו שרץ על המחשב שלו ועושה את זה. או לעשות שאפשר להתחבר רק מVPN או כל מיני דברים אם מדובר במשהו שאמור להיות ממש מאובטח.
__________________
קו ישר, כי אפשר גם אחרת |
22-12-08, 21:40 | # 10 | |
עסק רשום [?]
|
ציטוט:
אבל אני לא ממש יודע לאבטח התחברות בקוקיז אז ניסיתי לחשוב על דרך אחרת וזה מה שעלה לי בראש |
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|