![]() |
# 1 |
חבר מתקדם
|
הגנה מגניבת עוגיות
אהלן ,
יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' , אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה. Last edited by morsrh; 01-01-12 at 15:44.. |
![]() |
![]() |
# 2 |
מנהל פורום, עסק רשום
|
ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב.
תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש. |
![]() |
![]() |
# 3 |
חבר וותיק
|
למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים.
זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור: כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים: 1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי. 2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא). אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות.
__________________
פנוי לעבודה כמתכנת WEB - למידע נוסף: ליאור אמסלם. בניית אתרים באינטרנט - בלוג על בניית אתרים באינטרנט עם טיפים, מאמרים, מדריכי תכנות ועוד. משחקים אתר משחקים |
![]() |
![]() |
# 4 |
חבר מתקדם
|
עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?
|
![]() |
![]() |
# 5 |
חבר וותיק
|
|
![]() |
![]() |
# 6 |
חבר וותיק
|
תצא מנקודת הנחה שכן. זה לא משנה שלא.
__________________
פנוי לעבודה כמתכנת WEB - למידע נוסף: ליאור אמסלם. בניית אתרים באינטרנט - בלוג על בניית אתרים באינטרנט עם טיפים, מאמרים, מדריכי תכנות ועוד. משחקים אתר משחקים |
![]() |
![]() |
# 7 | |
מנהל פורום, עסק רשום
|
ציטוט:
טוב נו, לא לגמריי. בוא רגע נבין איך הדברים עובדים מאחורי הקלעים: השרת יוצר איזשהו hash ושומר אותו למשתמש בעוגיה ייעודית. בנוסף, השרת יודע לקשר את אותו ה-hash לכל המידע שאתה שומר בסשין שלך. כך שבעצם המשתמש כן יכול לצפות ב-hash (כי זו עוגיה) אבל אין לו גישה למידע עצמו ששמרת על השרת שקשור לאותו הסשין. |
|
![]() |
![]() |
# 8 |
חבר מתקדם
|
אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?
|
![]() |
![]() |
# 9 | |
מנהל פורום, עסק רשום
|
ציטוט:
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה? אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות... |
|
![]() |
![]() |
# 10 |
חבר מתקדם
|
אני שומר את הנתונים ככה מכיוון שעם כל רפרש של דף אני בודק אם מישהו התעסק עם הקוקי ע"י בדיקה אם (הצפנה(ססמא בסשיין)) == קוקי ססמא
למה אני שומר את הססמא בקוקי? מכיוון שאם הסשיין נמחק אני יכול לשחזר את הסשיין ע"י הקוקי -כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף במקרה שכמו שאמרת לשמור רק את ה ID אם בא לך לקרוא , הנה התרשים זרימה של הקוד שלי בקצרה: 1.התחברות -> משיכה העמודה של הפרטים של המשתמש אל תוך הסשיין ( רק ססמא מוצפנת כרגע מהמסד) + יצירת 3 קוקי , 1 אימייל לא מוצפן , 2ססמא מוצפנת ו3 קוקי אחד שמשלב את האימייל והססמא בהצפנה לצורך אבחנה גם כן 2.מה קורה אם המשתמש סגר את דפדפן? אני מעלה מהמסד את האימייל שבקוקי ובודק אם הסיסמא המוצפנת שווה להצפנה של הססמא שבמסד ואם כן אני משחזר את הסשיין כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף |
![]() |
![]() |
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|