הגנה מגניבת עוגיות - הוסטס

morsrh · 01-01-12, 15:09

אהלן ,

יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה
כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' ,
אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו
השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר
למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות

אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה.

**IgalSt** · 01-01-12, 15:37

ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב.
תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש.

satan · 01-01-12, 15:44

למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים.

זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור:

כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים:
1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי.
2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא).

אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות.

morsrh · 01-01-12, 15:48

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

Haimz · 01-01-12, 16:04

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

לא אין אפשרות למשתמש לעשות את זה, זו הסיבה משתמשים בOCR ולא קוראים את הסשן כשבונים בוטים בCAPTCHA)

satan · 01-01-12, 21:01

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

תצא מנקודת הנחה שכן. זה לא משנה שלא.

**IgalSt** · 02-01-12, 01:07

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

סשין == עוגיה
טוב נו, לא לגמריי. בוא רגע נבין איך הדברים עובדים מאחורי הקלעים:
השרת יוצר איזשהו hash ושומר אותו למשתמש בעוגיה ייעודית.
בנוסף, השרת יודע לקשר את אותו ה-hash לכל המידע שאתה שומר בסשין שלך.
כך שבעצם המשתמש כן יכול לצפות ב-hash (כי זו עוגיה) אבל אין לו גישה למידע עצמו ששמרת על השרת שקשור לאותו הסשין.

morsrh · 02-01-12, 14:27

אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

**IgalSt** · 02-01-12, 14:41

ציטוט:

נכתב במקור על ידי morplug

אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

morsrh · 02-01-12, 15:01

אני שומר את הנתונים ככה מכיוון שעם כל רפרש של דף אני בודק אם מישהו התעסק עם הקוקי ע"י בדיקה אם (הצפנה(ססמא בסשיין)) == קוקי ססמא
למה אני שומר את הססמא בקוקי? מכיוון שאם הסשיין נמחק אני יכול לשחזר את הסשיין ע"י הקוקי
-כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף במקרה שכמו שאמרת לשמור רק את ה ID

אם בא לך לקרוא , הנה התרשים זרימה של הקוד שלי בקצרה:

1.התחברות -> משיכה העמודה של הפרטים של המשתמש אל תוך הסשיין ( רק ססמא מוצפנת כרגע מהמסד) + יצירת 3 קוקי , 1 אימייל לא מוצפן , 2ססמא מוצפנת ו3 קוקי אחד שמשלב את האימייל והססמא בהצפנה לצורך אבחנה גם כן

2.מה קורה אם המשתמש סגר את דפדפן? אני מעלה מהמסד את האימייל שבקוקי ובודק אם הסיסמא המוצפנת שווה להצפנה של הססמא שבמסד
ואם כן אני משחזר את הסשיין
כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף

01-01-12, 15:09	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	הגנה מגניבת עוגיות אהלן , יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' , אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה. Last edited by morsrh; 01-01-12 at 15:44..

01-01-12, 15:37	# 2
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 37 הודעות: 1,432	ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב. תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1

01-01-12, 15:44	# 3
satan חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 34 הודעות: 1,582	למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים. זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור: כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים: 1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי. 2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא). אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות. __________________ פנוי לעבודה כמתכנת WEB - למידע נוסף: ליאור אמסלם. בניית אתרים באינטרנט - בלוג על בניית אתרים באינטרנט עם טיפים, מאמרים, מדריכי תכנות ועוד. משחקים אתר משחקים


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

01-01-12, 15:48	# 4
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

02-01-12, 14:27	# 8
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

02-01-12, 15:01	# 10
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 30 הודעות: 444	אני שומר את הנתונים ככה מכיוון שעם כל רפרש של דף אני בודק אם מישהו התעסק עם הקוקי ע"י בדיקה אם (הצפנה(ססמא בסשיין)) == קוקי ססמא למה אני שומר את הססמא בקוקי? מכיוון שאם הסשיין נמחק אני יכול לשחזר את הסשיין ע"י הקוקי -כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף במקרה שכמו שאמרת לשמור רק את ה ID אם בא לך לקרוא , הנה התרשים זרימה של הקוד שלי בקצרה: 1.התחברות -> משיכה העמודה של הפרטים של המשתמש אל תוך הסשיין ( רק ססמא מוצפנת כרגע מהמסד) + יצירת 3 קוקי , 1 אימייל לא מוצפן , 2ססמא מוצפנת ו3 קוקי אחד שמשלב את האימייל והססמא בהצפנה לצורך אבחנה גם כן 2.מה קורה אם המשתמש סגר את דפדפן? אני מעלה מהמסד את האימייל שבקוקי ובודק אם הסיסמא המוצפנת שווה להצפנה של הססמא שבמסד ואם כן אני משחזר את הסשיין כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)