התחברות בעזרת אייפי,מה דעתכם? - הוסטס

Erez | TrustMedia.co.il · 22-12-08, 16:55

חשבתי על רעיון לעשות התחברות שבמקום לשמור עוגיות בודקים קוקיז.
זה הולך ככה:
כאשר משתמש מתחבר זה מאמת את הפרטים שלו ובמידה והם נכונים הוא מכניס לטבלה של משתמשים שהתחברו את האייפי של המשתמש שהתחבר ואת האיידי של המשתמש שאליו התחבר ובנוסף קוד ראנדומאלי שנשמר על קוקיז.
ואז כאשר המשתמש נכנס לאתר בודקים אם קיימת שורה במסד שמכילה את האייפי שלו ובמידה וקיימת היא שולפת את הקוד שנשמר במסד ומאמתת אותו עם הקוקיז על המחשב.
במידה והם תואמים בודקים את האיידי ולפי האיידי יודעים לאיזה משתמש הוא מחובר ואם הקודים לא תואמים מוחקים את השורה מהמסד.
מה דעתכם?
היתרון בזה שלא ניתן לעשות עריכת קוקיז ולפרוץ למשתמשים
אבל החסרון זה שאם יש הרבה משתמשים שהתחברו זה מעמיס על האתר אבל אפשר למצוא לזה כמה פתרונות
האם יש איזושהיא בעיית אבטחה עם זה?
אשמח לשמוע את דעתכם

ibmod · 22-12-08, 16:59

ציטוט:

נכתב במקור על ידי EAStyle

חשבתי על רעיון לעשות התחברות שבמקום לשמור עוגיות בודקים קוקיז.
זה הולך ככה:
כאשר משתמש מתחבר זה מאמת את הפרטים שלו ובמידה והם נכונים הוא מכניס לטבלה של משתמשים שהתחברו את האייפי של המשתמש שהתחבר ואת האיידי של המשתמש שאליו התחבר ובנוסף קוד ראנדומאלי שנשמר על קוקיז.
ואז כאשר המשתמש נכנס לאתר בודקים אם קיימת שורה במסד שמכילה את האייפי שלו ובמידה וקיימת היא שולפת את הקוד שנשמר במסד ומאמתת אותו עם הקוקיז על המחשב.
במידה והם תואמים בודקים את האיידי ולפי האיידי יודעים לאיזה משתמש הוא מחובר ואם הקודים לא תואמים מוחקים את השורה מהמסד.
מה דעתכם?
היתרון בזה שלא ניתן לעשות עריכת קוקיז ולפרוץ למשתמשים
אבל החסרון זה שאם יש הרבה משתמשים שהתחברו זה מעמיס על האתר אבל אפשר למצוא לזה כמה פתרונות
האם יש איזושהיא בעיית אבטחה עם זה?
אשמח לשמוע את דעתכם

לרוב לקוחות האינטרנט הפרטיים בעלי אייפי דינאמי משמע האיפי מתחלף
דוגמא:המשתמש TEST נכנס עם האיפי 123.123.123.123 לאחר כמה זמן "הפעיל מחדש" את האינטרנט והאייפי שלו הוחלף האייפי הקודם שלו הועבר למשתמש X שבמידה והוא נכנס לפאנל שלך הוא יתחבר כמשתמש TEST

vadimg88 · 22-12-08, 17:16

הדרך הטובה ביותר היא לבצע MD5 על הסיסמא ביחד עם המספר של המשתמש שהתחבר ולשמור בעמודה במסד ובאותו זמן בעוגיה ואז כל הזמן לאמת את זה דרך העוגיה אם קיימת מול העמודה במסד.

Erez | TrustMedia.co.il · 22-12-08, 17:46

ציטוט:

נכתב במקור על ידי ibmod

לרוב לקוחות האינטרנט הפרטיים בעלי אייפי דינאמי משמע האיפי מתחלף
דוגמא:המשתמש TEST נכנס עם האיפי 123.123.123.123 לאחר כמה זמן "הפעיל מחדש" את האינטרנט והאייפי שלו הוחלף האייפי הקודם שלו הועבר למשתמש X שבמידה והוא נכנס לפאנל שלך הוא יתחבר כמשתמש TEST

בשביל זה הוספתי את החלק של הקוקיז עם הקוד

ציטוט:

נכתב במקור על ידי vadimg88

הדרך הטובה ביותר היא לבצע MD5 על הסיסמא ביחד עם המספר של המשתמש שהתחבר ולשמור בעמודה במסד ובאותו זמן בעוגיה ואז כל הזמן לאמת את זה דרך העוגיה אם קיימת מול העמודה במסד.

ואיך אני יודע לאיזה משתמש הוא מחובר אם זו הצפנה חד צדדית?
צריך עוד קוקיז?

intercooler3819 · 22-12-08, 18:14

מה שאתה מציע זה כמו לעשות לוגין בGET

אתה פשוט מקמבן כל מיני משתנים (ID+USER+PASS+SALTER+SALTER2) לתוך איזה UNIQUE STRING
את הסטרינג הזה אתה מזרים בכתובת בכל עמוד שבו הוא גולש

בכל עמוד אתה מפענח אותה ומוציא ממנה את הסיסמא יוזר וכו'

אבל גם לזה יש חסרון (מלבד העובדה שזה עמיד בדפדפנים שונאי קוקיז וכו') - המשתמש העתיק לינק שלח לחבר שלו ובום חבר שלו ביוזר שלו

בהצלחה

Erez | TrustMedia.co.il · 22-12-08, 18:58

ציטוט:

נכתב במקור על ידי nitsanbn

מה שאתה מציע זה כמו לעשות לוגין בGET

אתה פשוט מקמבן כל מיני משתנים (ID+USER+PASS+SALTER+SALTER2) לתוך איזה UNIQUE STRING
את הסטרינג הזה אתה מזרים בכתובת בכל עמוד שבו הוא גולש

בכל עמוד אתה מפענח אותה ומוציא ממנה את הסיסמא יוזר וכו'

אבל גם לזה יש חסרון (מלבד העובדה שזה עמיד בדפדפנים שונאי קוקיז וכו') - המשתמש העתיק לינק שלח לחבר שלו ובום חבר שלו ביוזר שלו

בהצלחה

כנראה שלא הבנת
למשתמש זה לא משנה כי הוא לא יודע איך המתכנת גורם לזה שהוא יהיה מחובר לאתר ולו זה יראה כמו כל התחברות אחרת
אבל אני בודק אם הוא מחובר לפי האייפי שלו,מסד נתונים שיכיל מידע שאוומר שהוא התחבר,וגם קוקיז עם קוד אימות שמופיע גם במסד שמוכיח שזה הוא וזה לא משהו אחר שקיבל את האייפי שלו.
ככה זה בערך כמו סשיין רק שלא נמחק ביציאה מהדפדפן

ibmod · 22-12-08, 19:07

ציטוט:

נכתב במקור על ידי EAStyle

כנראה שלא הבנת
למשתמש זה לא משנה כי הוא לא יודע איך המתכנת גורם לזה שהוא יהיה מחובר לאתר ולו זה יראה כמו כל התחברות אחרת
אבל אני בודק אם הוא מחובר לפי האייפי שלו,מסד נתונים שיכיל מידע שאוומר שהוא התחבר,וגם קוקיז עם קוד אימות שמופיע גם במסד שמוכיח שזה הוא וזה לא משהו אחר שקיבל את האייפי שלו.
ככה זה בערך כמו סשיין רק שלא נמחק ביציאה מהדפדפן

אממ תחשוב על זה שיש כאלה שעובדים עם תוכנות אשר משנות את האייפי כל X זמן ולהם זה חיסרון.

Erez | TrustMedia.co.il · 22-12-08, 19:59

ציטוט:

נכתב במקור על ידי ibmod

אממ תחשוב על זה שיש כאלה שעובדים עם תוכנות אשר משנות את האייפי כל X זמן ולהם זה חיסרון.

אז הם יצטרכו להתחבר תמיד מחדש
אבל תמיד אפשר להוסיף כמה דברים ולסדר את הבעיה הזאת

בניה · 22-12-08, 21:37

שאלה:למה אתה צריך אבטחה כזו מסורבלת שלא בטוח תועיל במשהו?
אם יש סיכוי שהIP שלו משתנה,אז התיחסות לIP בהתחברות זה דבר מיותר.
ואם זו מערכת ממש אבל ממש קריטית אז אפשר לעשות שהוא יעדכן את הIP שלו בFTP או את השם משתמש והסיסמא ואז יתחבר.
או לעשות משהו שרץ על המחשב שלו ועושה את זה.
או לעשות שאפשר להתחבר רק מVPN או כל מיני דברים אם מדובר במשהו שאמור להיות ממש מאובטח.

Erez | TrustMedia.co.il · 22-12-08, 21:40

ציטוט:

נכתב במקור על ידי בניה

שאלה:למה אתה צריך אבטחה כזו מסורבלת שלא בטוח תועיל במשהו?
אם יש סיכוי שהIP שלו משתנה,אז התיחסות לIP בהתחברות זה דבר מיותר.
ואם זו מערכת ממש אבל ממש קריטית אז אפשר לעשות שהוא יעדכן את הIP שלו בFTP או את השם משתמש והסיסמא ואז יתחבר.
או לעשות משהו שרץ על המחשב שלו ועושה את זה.
או לעשות שאפשר להתחבר רק מVPN או כל מיני דברים אם מדובר במשהו שאמור להיות ממש מאובטח.

זה לא אמור להיות כלכך מאובטח סה"כ מערכת הרשמה והתחברות פשוטה
אבל אני לא ממש יודע לאבטח התחברות בקוקיז אז ניסיתי לחשוב על דרך אחרת וזה מה שעלה לי בראש

22-12-08, 16:55	# 1
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	התחברות בעזרת אייפי,מה דעתכם? חשבתי על רעיון לעשות התחברות שבמקום לשמור עוגיות בודקים קוקיז. זה הולך ככה: כאשר משתמש מתחבר זה מאמת את הפרטים שלו ובמידה והם נכונים הוא מכניס לטבלה של משתמשים שהתחברו את האייפי של המשתמש שהתחבר ואת האיידי של המשתמש שאליו התחבר ובנוסף קוד ראנדומאלי שנשמר על קוקיז. ואז כאשר המשתמש נכנס לאתר בודקים אם קיימת שורה במסד שמכילה את האייפי שלו ובמידה וקיימת היא שולפת את הקוד שנשמר במסד ומאמתת אותו עם הקוקיז על המחשב. במידה והם תואמים בודקים את האיידי ולפי האיידי יודעים לאיזה משתמש הוא מחובר ואם הקודים לא תואמים מוחקים את השורה מהמסד. מה דעתכם? היתרון בזה שלא ניתן לעשות עריכת קוקיז ולפרוץ למשתמשים אבל החסרון זה שאם יש הרבה משתמשים שהתחברו זה מעמיס על האתר אבל אפשר למצוא לזה כמה פתרונות האם יש איזושהיא בעיית אבטחה עם זה? אשמח לשמוע את דעתכם __________________

22-12-08, 18:14	# 5
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	מה שאתה מציע זה כמו לעשות לוגין בGET אתה פשוט מקמבן כל מיני משתנים (ID+USER+PASS+SALTER+SALTER2) לתוך איזה UNIQUE STRING את הסטרינג הזה אתה מזרים בכתובת בכל עמוד שבו הוא גולש בכל עמוד אתה מפענח אותה ומוציא ממנה את הסיסמא יוזר וכו' אבל גם לזה יש חסרון (מלבד העובדה שזה עמיד בדפדפנים שונאי קוקיז וכו') - המשתמש העתיק לינק שלח לחבר שלו ובום חבר שלו ביוזר שלו בהצלחה __________________

22-12-08, 21:37	# 9
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	שאלה:למה אתה צריך אבטחה כזו מסורבלת שלא בטוח תועיל במשהו? אם יש סיכוי שהIP שלו משתנה,אז התיחסות לIP בהתחברות זה דבר מיותר. ואם זו מערכת ממש אבל ממש קריטית אז אפשר לעשות שהוא יעדכן את הIP שלו בFTP או את השם משתמש והסיסמא ואז יתחבר. או לעשות משהו שרץ על המחשב שלו ועושה את זה. או לעשות שאפשר להתחבר רק מVPN או כל מיני דברים אם מדובר במשהו שאמור להיות ממש מאובטח. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

22-12-08, 17:16	# 3
vadimg88 חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2008 גיל: 36 הודעות: 710	הדרך הטובה ביותר היא לבצע MD5 על הסיסמא ביחד עם המספר של המשתמש שהתחבר ולשמור בעמודה במסד ובאותו זמן בעוגיה ואז כל הזמן לאמת את זה דרך העוגיה אם קיימת מול העמודה במסד.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)