לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #4  
ישן 20-01-2010, 19:19
  משתמש זכר dorM dorM אינו מחובר  
מנהל
 
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 1 שנכתבה על ידי MatiM שמתחילה ב "עבודה עם עוגיות"

לא הבנתי למה התכוונת.

עוגיות זה משהו שאי אפשר לסמוך עליו בשום פנים ואופן.
תחשוב על זה שכשאתה שולח למישהו עוגיה, זה כמו לתת לאדם זר זוג מפתחות (אחד בשביל שם העוגיה, והשני בשביל הערך שלה).
האדם הזה יכול לתת את המפתח של שם העוגיה או הערך שלה לכל אחד אחר, ויכול גם בעצם ליצור מפתח אחר בעצמו...
אתה מבחינתך צריך לוודא שהאדם הזה יקבל מפתח ייחודי שלאחרים יהיה קשה לייצר בעצמם.
כמו כן אחד האמצעים הנוספים לזיהוי משתמש היא באמצעות ה-IP, מה שלא יאפשר לאותו אדם להתחבר מ-2 מחשבים שונים, ולמעשה יחייב אותו להכניס את הסיסמא מחדש...

אגב לפעמים לא משנה כמה אתר יהיה מאובטח, תמיד יהיה איזה משתמש שישכח לסגור את החשבון במחשב ציבורי, ואז יבוא חבר מהכיתה ויעשה לו פדיחות בחשבון הפייסבוק (כמוני XD)
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 20-01-2010, 19:29
צלמית המשתמש של MatiM
  משתמש זכר MatiM MatiM אינו מחובר  
 
חבר מתאריך: 12.04.06
הודעות: 2,021
שלח הודעה דרך MSN אל MatiM
בתגובה להודעה מספר 4 שנכתבה על ידי dorM שמתחילה ב "לא הבנתי למה התכוונת. עוגיות..."

חחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחח


כל מה שאמרת, זו בדיוק הבעיה שלי.
אם אני נניח רוצה לדעת איזה משתמש מחובר כרגע במחשב, אני אשמור קוקיז עם השם שלו.
ואז - כל מי שירצה לפרוץ רק יצטרך לשנות את השם, והוא נהיה בנאדם אחר.
(וזו דוגמא אחת, יכולים להיות הרבה מאוד מצבים כאלה)

איך אני מונע את זה?

אם אני משתמש ב"מחרוזת" נוספת חוץ מהפרטים שאני שומר (SALT - כמו שהבחור למעלה הציע), האם מחרוזת קבועה (בנוסף נניח לשם המשתמש) תעשה את העבודה?
כי...אנשים לא ידעו מהי המחרוזת הזו, אבל מצד שני - מי שירצה לפרוץ, ידע להגיע אליה.

ואם לא מחרוזת קבועה, אלא מחרוזת משתנה לכל משתמש [נניח שבמסד כל משתמש יקבל סימן מיוחד שיווסף לכל הדברים שלו - כמו במערכות VB], האם זה יעיל ואיכותי בכל כניסה לעמוד לשלוח שאילתא למסד ולבדוק שכל הקוקיז תקינים? :\


_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 20-01-2010, 19:48
  משתמש זכר dorM dorM אינו מחובר  
מנהל
 
חבר מתאריך: 26.07.08
הודעות: 6,473
בתגובה להודעה מספר 5 שנכתבה על ידי MatiM שמתחילה ב "..."

כדי להגיע לפיתרון, הכי קל לחשוב מה אתה מבקש מהמשתמש כדי שהוא יוכל להתחבר לחשבון שלו?
אתה מבקש שם משתמש וסיסמא.
בינתיים אתה קובע בעוגייה את שם המשתמש. מה שחסר לך זה לקבוע גם סיסמא, או מחרוזת hash של הסיסמא כדי להקשות על הפירצה בידי גורמים עויינים, כמו בית ספר לדוגמא שהקונספירטורים יגידו שהוא שם sniffer על התעבורה ברשת של התלמידים, וכך גולש לחשבון שלהם מבלי שהזאטוטים ידעו...

התחליף לסיסמא זה ה- session id (או בקיצור SID). תחשוב איזה יעיל זה כיוון שזה יכול להיות רנדומלי! כך שבסופו של דבר תשמור בעוגיות את ה-SID ושם משתמש.

אבל בעצם, אם אנחנו שומרים SID, אז למה צריך לשמור גם שם משתמש? הרי המידע נמצא בכל מקרה כבר ב-DB...
אז כנראה שלא צריך. יכול להיות שאחרים יעשו את זה בשביל יתר זהירות...
רק אל תשכח לבדוק גם את ה-IP.
אני, במקום שם משתמש, הייתי שולח בנוסף ל-SID את זמן ההתחברות (בפורמט UNIX Timestamp, ב-PHP זה מתקבל מ- ()time ) ומשווה את זה למה שכבר נמצא אצלי ב-DB.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 19:28

הדף נוצר ב 0.04 שניות עם 11 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר