הסתרה מוחלטת של הזהות - הוסטס

eXtaZa · 06-04-10, 13:33

שלום!
אני מעוניין לדעת כיצד אוכל לאבטח את האתר שלי בצורה טובה יותר.
נגיד שמשתמש מסויים באתר שלי רוצה להרשם פעמיים. כיצד אוכל לגלות שיש לו 2 משתמשים באתר?
אם הוא מחליף IP, מוחק את כל קבצי העוגיות וגם את ה Temporary Internet Files האם עדיין אוכל לגלות שיש לו משתמש כפול באתר?
מה לגבי Sessions ? האם הם ימחקו כשהוא יכנס מחדש לדפדפן? ואם הוא לא סוגר את הדפדפן, צריך איזה Sessions ID שמועבר בכתובת או שנשמר בקוקיז שאותם הוא מחק, לא? אם אני לא מעביר בכתובת SID והוא מחק את כל הקוקיז אז איך אני יכול לזהות את המשתמש?
האם ישנם עוד דרכים?

תודה !

Erez | TrustMedia.co.il · 06-04-10, 13:50

אם הוא משנה אייפי ומחק קוקיז אין לך אפשרות לזהות שהוא כבר ביקר באתר

Shay Ben Moshe · 06-04-10, 15:13

אוקי, בוא נעשה הכללה: אין שום דרך ממשית בקוד.
אתה יכול לדרוש לדוגמה אימייל של הספקית כמו שנעשה פה בפורום..

eXtaZa · 06-04-10, 16:00

אז מעניין אותי איך יכול להיות שאני נמצא באתר מסויים, נכנס למשתמש שלי, לאחר מכן משנה IP ומוחק את כל הקוקיז (אני עדיין נמצא באתר, לא סגרתי את הדפדפן) ואז לוחץ על כל מיני קישורים באתר וזה מראה לי שאני עדיין מחובר, איך זה??

Shay Ben Moshe · 06-04-10, 16:20

כנראה שבגלל שאתה עדיין באתר.

eXtaZa · 06-04-10, 16:41

כמובן שאני באתר, אבל שיניתי את הIP ומחקתי את כל העוגיות. מה בעצם קורה "מאחורי הקלעים"? איך האתר מזהה שזה אני?

anti · 06-04-10, 19:30

SESSION.

eXtaZa · 06-04-10, 19:46

בשביל שהאתר יזהה אותי באמצעות session , הוא צריך בכתובת איזה SID או לשמור אותו בcookie , לא? ובכתובת אין שום SID ומחקתי את כל הקוקיז. מה נשאר?

**IgalSt** · 07-04-10, 13:22

ציטוט:

נכתב במקור על ידי eXtaZa

כמובן שאני באתר, אבל שיניתי את הIP ומחקתי את כל העוגיות. מה בעצם קורה "מאחורי הקלעים"? איך האתר מזהה שזה אני?

אם מחקת קוקיז ולא סגרת את הדפדפן האתר עדיין משתמש בקוקי

ציטוט:

נכתב במקור על ידי eXtaZa

בשביל שהאתר יזהה אותי באמצעות session , הוא צריך בכתובת איזה SID או לשמור אותו בcookie , לא? ובכתובת אין שום SID ומחקתי את כל הקוקיז. מה נשאר?

אין צורך להעביר את ה-ID של הסשין ב-URL כדי לזהות אותך. סשין מוצמד לכל גולש באתר ע"י השרת עצמו ומת (ברירת מחדל) אחרי 20 דקות של חוסר פעילות (חוסר בבקשות לשרת). כל בקשה חדשה מחיה את הסשין.

וכדי לסכם, כמו שכבר נאמר ע"י Shay Falador, אין אפשרות לזהות גולש.
בזמנו כשעבדתי ב-showme התעסקתי הרבה עם (נסיונות) לחסום גולשים.

ישי · 07-04-10, 19:15

קיימות עוד כמה שיטות שמשתמשים בהן במקרים מסויימים:
1. יצירת אובייקט דמוי cookie מסוג פלאש ששומר מידע לוקאלי במחשב גם לאחר מחיקת ה-cookies הרגילים
2. תהליך וריפיקציה שמבוסס על הורדת תוכנה למחשב שבודקת את רכיבי החומרה ומייצרת בהתאם ID ייחודי לאותו מחשב
3. תהליך וריפיקציה שמבובסס על משהו שיותר קשה לשכפל כמו אימייל של ספק (כמו שהציע שי), מס' פלאפון/טלפון, צילום של ת.ז. וכו'

06-04-10, 13:33	# 1
eXtaZa חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 288	הסתרה מוחלטת של הזהות שלום! אני מעוניין לדעת כיצד אוכל לאבטח את האתר שלי בצורה טובה יותר. נגיד שמשתמש מסויים באתר שלי רוצה להרשם פעמיים. כיצד אוכל לגלות שיש לו 2 משתמשים באתר? אם הוא מחליף IP, מוחק את כל קבצי העוגיות וגם את ה Temporary Internet Files האם עדיין אוכל לגלות שיש לו משתמש כפול באתר? מה לגבי Sessions ? האם הם ימחקו כשהוא יכנס מחדש לדפדפן? ואם הוא לא סוגר את הדפדפן, צריך איזה Sessions ID שמועבר בכתובת או שנשמר בקוקיז שאותם הוא מחק, לא? אם אני לא מעביר בכתובת SID והוא מחק את כל הקוקיז אז איך אני יכול לזהות את המשתמש? האם ישנם עוד דרכים? תודה !

06-04-10, 13:50	# 2
Erez \| TrustMedia.co.il עסק רשום [?] מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,854	אם הוא משנה אייפי ומחק קוקיז אין לך אפשרות לזהות שהוא כבר ביקר באתר __________________

06-04-10, 15:13	# 3
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	אוקי, בוא נעשה הכללה: אין שום דרך ממשית בקוד. אתה יכול לדרוש לדוגמה אימייל של הספקית כמו שנעשה פה בפורום.. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

06-04-10, 16:20	# 5
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	כנראה שבגלל שאתה עדיין באתר. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

06-04-10, 16:00	# 4
eXtaZa חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 288	אז מעניין אותי איך יכול להיות שאני נמצא באתר מסויים, נכנס למשתמש שלי, לאחר מכן משנה IP ומוחק את כל הקוקיז (אני עדיין נמצא באתר, לא סגרתי את הדפדפן) ואז לוחץ על כל מיני קישורים באתר וזה מראה לי שאני עדיין מחובר, איך זה??

06-04-10, 16:41	# 6
eXtaZa חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 288	כמובן שאני באתר, אבל שיניתי את הIP ומחקתי את כל העוגיות. מה בעצם קורה "מאחורי הקלעים"? איך האתר מזהה שזה אני?

06-04-10, 19:30	# 7
anti חבר על מיני פרופיל תאריך הצטרפות: Jul 2006 הודעות: 901	SESSION.

06-04-10, 19:46	# 8
eXtaZa חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 288	בשביל שהאתר יזהה אותי באמצעות session , הוא צריך בכתובת איזה SID או לשמור אותו בcookie , לא? ובכתובת אין שום SID ומחקתי את כל הקוקיז. מה נשאר?

07-04-10, 19:15	# 10
ישי חבר בקהילה מיני פרופיל תאריך הצטרפות: Apr 2008 הודעות: 98	קיימות עוד כמה שיטות שמשתמשים בהן במקרים מסויימים: 1. יצירת אובייקט דמוי cookie מסוג פלאש ששומר מידע לוקאלי במחשב גם לאחר מחיקת ה-cookies הרגילים 2. תהליך וריפיקציה שמבוסס על הורדת תוכנה למחשב שבודקת את רכיבי החומרה ומייצרת בהתאם ID ייחודי לאותו מחשב 3. תהליך וריפיקציה שמבובסס על משהו שיותר קשה לשכפל כמו אימייל של ספק (כמו שהציע שי), מס' פלאפון/טלפון, צילום של ת.ז. וכו'

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)