ערב טוב


אני כרגע עובד על אתר חדש ובו אני משתמש בעוגיות כדי לשמור מידע על המשתמש שמחובר למערכת.
הבעיה היא, שהמידע שנשמר גלוי לגולש [כאשר הוא יחפש אותו, ניתן לראות בדיוק מה שמור],
וכמו שהוא גלוי, אני בטוח שכך גם אפשר לשנות אותו.


השאלה שלי היא - מה הדרך הטובה ביותר למנוע מהמשתמש לשנות את העוגיות שלו [כדי למנוע פריצות]?

דוגמא; אם אני שומר שם משתמש מחובר, יוכלו לשנות את שם המשתמש ובכך להתחבר כביכול כמשתמש אחר.


אשמח לרעיונות בנושא, תודה

תעשה SALT

היי,
שמי דן , ואשמח לעזור לכם בכל פנייה שהיא
ניתן ליצור איתי קשר באיימיל (DanDan@walla.com) במסנג'ר (DanDan@walla.com) ובאיסיקיו (12348188)

גלישה נעימה...

חשבתי על זה, אבל אני אצטרך כל הזמן לבדוק מהו - ואני לא בטוח שזה הכי יעיל. =\

לא הבנתי למה התכוונת.

עוגיות זה משהו שאי אפשר לסמוך עליו בשום פנים ואופן.
תחשוב על זה שכשאתה שולח למישהו עוגיה, זה כמו לתת לאדם זר זוג מפתחות (אחד בשביל שם העוגיה, והשני בשביל הערך שלה).
האדם הזה יכול לתת את המפתח של שם העוגיה או הערך שלה לכל אחד אחר, ויכול גם בעצם ליצור מפתח אחר בעצמו...
אתה מבחינתך צריך לוודא שהאדם הזה יקבל מפתח ייחודי שלאחרים יהיה קשה לייצר בעצמם.
כמו כן אחד האמצעים הנוספים לזיהוי משתמש היא באמצעות ה-IP, מה שלא יאפשר לאותו אדם להתחבר מ-2 מחשבים שונים, ולמעשה יחייב אותו להכניס את הסיסמא מחדש...

אגב לפעמים לא משנה כמה אתר יהיה מאובטח, תמיד יהיה איזה משתמש שישכח לסגור את החשבון במחשב ציבורי, ואז יבוא חבר מהכיתה ויעשה לו פדיחות בחשבון הפייסבוק (כמוני XD)

חחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחח


כל מה שאמרת, זו בדיוק הבעיה שלי.
אם אני נניח רוצה לדעת איזה משתמש מחובר כרגע במחשב, אני אשמור קוקיז עם השם שלו.
ואז - כל מי שירצה לפרוץ רק יצטרך לשנות את השם, והוא נהיה בנאדם אחר.
(וזו דוגמא אחת, יכולים להיות הרבה מאוד מצבים כאלה)

איך אני מונע את זה?

אם אני משתמש ב"מחרוזת" נוספת חוץ מהפרטים שאני שומר (SALT - כמו שהבחור למעלה הציע), האם מחרוזת קבועה (בנוסף נניח לשם המשתמש) תעשה את העבודה?
כי...אנשים לא ידעו מהי המחרוזת הזו, אבל מצד שני - מי שירצה לפרוץ, ידע להגיע אליה.

ואם לא מחרוזת קבועה, אלא מחרוזת משתנה לכל משתמש [נניח שבמסד כל משתמש יקבל סימן מיוחד שיווסף לכל הדברים שלו - כמו במערכות VB], האם זה יעיל ואיכותי בכל כניסה לעמוד לשלוח שאילתא למסד ולבדוק שכל הקוקיז תקינים? :\

כדי להגיע לפיתרון, הכי קל לחשוב מה אתה מבקש מהמשתמש כדי שהוא יוכל להתחבר לחשבון שלו?
אתה מבקש שם משתמש וסיסמא.
בינתיים אתה קובע בעוגייה את שם המשתמש. מה שחסר לך זה לקבוע גם סיסמא, או מחרוזת hash של הסיסמא כדי להקשות על הפירצה בידי גורמים עויינים, כמו בית ספר לדוגמא שהקונספירטורים יגידו שהוא שם sniffer על התעבורה ברשת של התלמידים, וכך גולש לחשבון שלהם מבלי שהזאטוטים ידעו...

התחליף לסיסמא זה ה- session id (או בקיצור SID). תחשוב איזה יעיל זה כיוון שזה יכול להיות רנדומלי! כך שבסופו של דבר תשמור בעוגיות את ה-SID ושם משתמש.

אבל בעצם, אם אנחנו שומרים SID, אז למה צריך לשמור גם שם משתמש? הרי המידע נמצא בכל מקרה כבר ב-DB...
אז כנראה שלא צריך. יכול להיות שאחרים יעשו את זה בשביל יתר זהירות...
רק אל תשכח לבדוק גם את ה-IP.
אני, במקום שם משתמש, הייתי שולח בנוסף ל-SID את זמן ההתחברות (בפורמט UNIX Timestamp, ב-PHP זה מתקבל מ- ()time ) ומשווה את זה למה שכבר נמצא אצלי ב-DB.

אז במקום לשמור על המחשב של הגולש שם משתמש (והוא יוכל לשנות ולהתחבר למשתמש אחר) תשמור אצלו שם משתמש + סיסמא. מה הבעייה? ואם אתה רוצה שזה יהיה מאובטח יותר תצפין את הסיסמא שאתה שומר אצל הגולש כדי שתוכנות צד שלישי לא יוכלו לגנוב לו תסיסמא.

רשימת משתמשים מחוברים לאתר עושים עם APC, לא עם עוגיות, ולא עם סשנים.