יש לי קוקיז של התחברות ( seasonID).
ועוד עוגייה שנשלחת לגולש במקרה שהוא מסמן 'זכור אותי' בהרחברות.
איך אפשר 'להגן' עלייה.

כלומר פורץ יכול לעשות פישינג לגולשים ולקחת את הקוקיז שלהם
ולהתחבר בשמם.

יש למישהו רעיון?

יש כמה אפשרויות.. דרך פשוטה: תצפין את האיי פי של הגולש בעוגייה, ותשווה אותה לערך של הגולש. אם זה השתנה, סימן שזה כבר לא הוא, לפחות לא מאותו איי פי - ותעשה לו LOGOUT.

למה לא לשמור את הסיסמה ב-md5 ואז לעשות השוואה לסיסמה שיש ב-DB בכל פעם?

יקיר.
מילים לשירים חסידיים.

ציטוט:

במקור נכתב על ידי KingYes למה לא לשמור את הסיסמה ב-md5 ואז לעשות השוואה לסיסמה שיש ב-DB בכל פעם?

כי זה לא קשור למה שהוא שאל?

phishing זה מושג אחר ממה שאתה מתאר, תראה: http://he.wikipedia.org/wiki/%D7%93%D7%99%D7%95%D7%92

בנוגע לגניבת המידע המאוחסן בעוגיות:
בעיקרון אין מה לדאוג כל עוד למשתמש יש דפדפן בטוח לשימוש, ואתה נוקט באמצעי זהירות סטנדרטיים:
הצפנת המידע שבעוגיה, קביעת הדומיין שאליו שייכת העוגיה וכד' (אם יש עוד שאני לא חושב עליהם כרגע...)

אי אפשר. כל מה שעוזב את השרת נהיה לא בטוח. אל תשמור שום מידע רגיש או מידע של זיהוי משתמשים בעוגיות.

אני גם חשבתי על להוסיף את האייפי ולעשות md5. אבל אני רוצה שיזכור
גם אם השתנה האייפי.


ולגבי זה שאמר שהדפדפנים מאובטחים- מה אם הפורץ הצליח לשתול קוד ששולח לו את העוגיות אליו.

1. האתר שלך יושב מאחורי SSL?
2. MD5 זה לא הצפנה.
3. אל תשמור סיסמה בשום מקום.
4. http://en.wikipedia.org/wiki/HTTP_c...acks_of_cookies

1. לא נראה לי
2. כן אני יודע, פשוט לא יודע איך לקרוא לו
3. לא שומר את הססמאות
4. לפי מה שהבנתי משם זה מדבר על ה SLL

- איך מערכות גדולות עושות את זה(הקטע של -זכור אותי במחשב זה)
שאני אומר מערכות גדולות כמו PHBB VBULITTEN או אתרים כמו FACEBOOK
-או ששום אתר לא עושה נגד זה כלום (חוץ מה- SSL)

בד"כ משתמשים בקוקי ש"זוכר" אותך על ידי זה שמצמידים את ה session id שלך למשתמש שלך, וזה מאפשר זיהוי שלך מול האתר ברמה מסויימת. לפעולות רגישות (אתה מגדיר מה נחשב רגיש) - תמיד האתר ידרוש את פרטי הזיהוי שלך מחדש, ואז או יאשר את הפעולה חד פעמית, או יאשר ל session id המסויים שלך לבצע פעולות במשך X זמן לאחר הזיהוי כדי לא להטריד אותך שוב ושוב.

ב vBulletin (ונדמה לי שגם בפייסבוק), למשל, אתה יכול לעשות כמעט הכל, בתור גולש, ללא צורך בהזדהות חוזרת, כדי שיהיה נוח. אבל אם אתה רוצה לשנות פרטים מהותיים (כמו מייל / סיסמא) - אתה חייב להזדהות שוב. כמו כן, פעולות בעלות אופי של הרשאה גבוהה ב vBulletin (כלומר אזורים המוגבלים למנהלי פורום וכו') - דורשות תמיד הזדהות חוזרת אם לא הזדהית במשך X דקות.

ל SSL יש תפקיד אחר: שלא יצליחו לסחוב ממך את המשתמש, הסיסמה, ולפעמים... גם את הקוקי (האחרון נכון רק בהנחה והאתר מעביר את כל התעבורה שלו תמיד ב SSL) - אם מישהו מאזין לתקשורת בינך לבין השרת.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

אבל אם אתה רוצה לשנות פרטים מהותיים (כמו מייל / סיסמא) - אתה חייב להזדהות שוב. כמו כן, פעולות בעלות אופי של הרשאה גבוהה ב vBulletin (כלומר אזורים המוגבלים למנהלי פורום וכו') - דורשות תמיד הזדהות חוזרת אם לא הזדהית במשך X דקות.

לגבי השיטה הזו.
אם המשתמש/ מנהל לא הזדהה במשך x דקות
הוא מתנתק מהאדמין.
מה קורה עם התנתקות מהאתר הרגיל.

מה שתבחר.
אתה יכול להגדיר שאם לא בוצעה פיסית התחברות במשך XX דקות תצטרך להתחבר מחדש, בלי שום קשר לרמת ההרשאה.

אני לא מבין בישביל מה לחפש דרכים איך לאבטח את הקוקיז שלך אם אתה לא משתמש בSSL...
מי שרוצה יכול לבוא לקחת את הקוקי כפי שהיא מהתקשורת, ולבוא איתה לאתר...

קודם כל קוראים לזה Cookie hijacking - לא פישינג.
איך פורץ יקח את הפרטים לקוקיז של הגולשים שלך?
הרי בהגדרת העוגייה מגדירים דומיין שממנו אפשר לגשת אלייה (בהנחה שהדפדפן שהם משתמשים בו לא פריץ ומאפשר לאתרים אחרים גם לקחת את העוגייה).
דבר נוסף אם משתמש כבר חדר לך לאתר והשתיל שם קוד שגונב עוגיות באמצעות JS - דבר שניתן לחסום עם php 5.2+ באמצעות הגדרת httponly ביצירת העוגייה (מונע שימוש בעוגייה באמצעות JS).

חוץ מזה שיש דברים שהם לא בשליטתך כמו העתקה פיזית של העוגייה ממחשב למחשב

אבל הרעיון של הצפנת הIP והוספתו לעוגיות זה רעיון נחמד, רק חבל שברגע שהIP מתחלף המשתמש מתנתק שזו בעצם ההגנה כאן

מה שכן אפשר להוסיף פרטים מזהים אחרים נניח הדפדפן בו הגולש משתמש אבל זה כבר פחות בטוח