הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - התחברות לאתר? (https://hosts.co.il/forums/showthread.php?t=93073)

trupix

28-10-11 12:38

התחברות לאתר?

הי,

יש לי טופס התחברות, לצורך הענין נקרא לו login.php

בטופס ישנם השדות שם משתמש + סיסמא בלבד.

נניח והמשתמש עבר בהצלחה את פרוצדורת הזיהוי, איך ניתן לזכור אותו בכניסות הבאות שלו לאתר?

יש את set cookie אבל אני קצת מסתבך עם זה.

כמו כן רציתי לדעת איך לSeasion_start יש קשר לכל הסיפור

תודה לעוזרים!
שב"ש|קורץ|

Liorl

28-10-11 13:06

אז זה הולך ככה ..
אחרי שהמשתמש עבר את הזיהוי

אתה מייצר לו סיישן ככה :

PHP קוד:


		
			
$_SESSION["name"] = $_POST["user"];

עכשיו פתחנו סיישן שקוראים לו "name" והערך שלו שווה ל "

קוד:

$_POST["user"]

"

אם אתה רוצה לבדוק האם המשתמש התחבר תעשה ככה :

PHP קוד:


		
			
if($_SESSION["name"]){

/* Code if The user Login */

} else {

 /* Code If The User Dont Login */

}

מקווה שהבנתה :)

trupix

28-10-11 13:13

הי ליאור! קודם כל תודה. :)

לדעתך מאובטח יותר להשתמש בסשן מאשר קוקיז?

Liorl

28-10-11 13:14

כן .. מכיוון שקוקיז כל אחד שיודע להתעסק קצת יכול לערוך אותו .. מהסיבה הזאת צריך לבנות אבטחה בשבילו..

מהצד השני אתה יכול לשלוט על הזמן שהמשתמש יהיה מחובר ... ובסישן אתה לא יכול

trupix

28-10-11 13:21

ובהנחה שהמשתמש יצא מהאתר ונכנס אחרי יומיים(מאותו מחשב+דפדפן) - > איך המערכת תזהה אותו? הרי אין לו כלום על המחשב שמעיד על כך (=קוקיז)

אני מקווה שזה לא עפ"י כתובת IP מאחר וזה לא כל כך טוב עבורי.

אדיר	28-10-11 13:23

שימוש במערכת הסיישנים המובנית ב- PHP לא עונה על התנאי של פותח האשכול: "איך ניתן לזכור אותו בכניסות הבאות שלו לאתר".

המידע הקיים בסיישן תקף כל עוד הגולש לא סגר את הדפדפן/ איפס את הסיישן,
ברגע שהגולש יסגור את הדפדפן ויפתח אותו מחדש הוא יקבל מזהה אחר והמערכת כבר לא תקשר אותו למידע מהסיישן הקודם שלו.

תלמד להשתמש בעוגיות, זה ידע בסיסי.

trupix

28-10-11 13:33

על פי כך אשתמש בקוקיז.

קוד:

set_cookie("cookie_login","admin");

האם הסינטקס נכון? כיצד ניתן לאבטח אותו ככל האפשר? כי לפחות בתיאוריה, ניתן בקלות 'להערים' על המערכת תוך כדי יצירת עוגייה זהה עם המשתמש שאבחר

תודה חברה.

Erez | TrustMedia.co.il

28-10-11 15:28

ציטוט:

נכתב במקור על ידי trupix (פרסם 823343)

על פי כך אשתמש בקוקיז.

קוד:

set_cookie("cookie_login","admin");

בעוגייה תשמור את הmd5 של הסיסמא, או איזה מזהה ייחודי של ההתחברות.
בקיצור משהו שלא יהיה אפשר לגלות בקלות ולשנות את העוגיה ולפרוץ למשתמש

Haimz

28-10-11 17:32

כדי להתחיל SESSION אתה רושם

PHP קוד:


		
			
session_start();

מטעמי אבטחה, תעשה ככה:

PHP קוד:


		
			
session_start();
ini_set ( "session.cookie_httponly" , true );

אסור שיהיה HTML לפני תחילת הקוד (זה כולל גם רווחים וכל דבר קטן שמודפס למסך)

כדי להכניס סשן אתה עושה

PHP קוד:


		
			
$_SESSION['name'] = 'value';

כמו ששמת לב המשתנה $_SESSION הוא מערך, ודרכו את גם קורא פרטים, בהצלחה

שים לב שסשן לא ישמר אחרי יציאה מהדפדפן \ כיבוי המחשב, אם אתה רוצה לזכור פרטים, תוכל להשתמש בעוגיות (עם הצפנה לכל ערך)
או לשמור אייפי במסד ולפי זה לפעול

daNN	28-10-11 17:49

ציטוט:

נכתב במקור על ידי Liorl (פרסם 823336)

נתקלתי בהרבה שטויות שאתה זורק בפורום תגבה את מה שאתה אומר ב-הוכחות.
אתה טועה. שוב.
וממשיך להטעות אנשים, חבל.. אם אתה לא יודע פשוט אל תנסה לעזור.

זיוף Sessions אפשרי בדיוק באותה רמה של זיוף Cookies.

אז איך כן תעשה את זה ?
- תיצור כפתור CheckBox של "זכור אותי" לדעת אם לשמור את העוגייה במחשב (אולי המשתמש לא משתמש הרגע במחשב שלו?)
- בדוק עם המסד נתונים אם המשתמש קיים והסיסמא תקינה במקרה אם כן המשך הלאה.
- תגדיר Session במקרה שלא השתמש באופציה "זכור אותי"
- במקרה שכן השתמש באופציה "זכור אותי" תגדיר עוגייה
- בנוסף את הסיסמא תדאג להצפין באחת מההצפנות המוצעות בPHP לדוגמא: md5, sha1, crc32.

נקודות חשובות:
שים לב לא להגדיר בצורה הבאה (כמו שהראו לך למעלה):

קוד:

$username = $_POST["user"]

מן הסתם לפני שאתה מגדיר Cookies או Sessions
אתה בודק עם המסד נתונים אם המשתמש קיים והסיסמא שהוזנה נכונה.
במקרה של שימוש בצורה הזאת אתה חושף את המסד נתונים שלך להזרקות SQL.
על מנת לקרוא עוד על הזרקות SQL:
http://www.unixwiz.net/techtips/sql-injection.html

אז מה כן אפשר לעשות?
השתמש בפונקציה mysql_real_escape_string !

קוד:

$username = mysql_real_escape_string($_POST['user'])

link	28-10-11 19:53

הייתי רוצה להצטרף לדיון באיך אפשר להצפין עוגייה. כמו שאמרו, אפשר לשחק עם עוגיות זו לא הבעיה. אז מה אפשר לעשות? קודם כל לקחת כמה ערכים מזהים:
מספר משתמש - מספר ייחודי שיש לכל משתמש, זה הערך הראשוני שצריך להיות בעוגייה
סיסמה מוצפנת בנוסף - הסיסמה שקיימת במסד, להצפין אותה פעם נוספת ליתר בטחון
כתובת אתר - הדומיין של האתר שממנו בוצעה ההתחברות
אחרי שביצעת את ההתחברות לאתר ווידאת בוודאות שהוא המשתמש תיצור את העוגייה.ואפשר לקחת ערכים אחרים.
את הערכים אתה מזין בעוגייה כשהם מופרדים בתור מסויים, לא משנה איזה.

נעבור לחלק השני:
כשהמשתמש מגיע לאתר פעם נוספת אתה טוען לתוך מחרוזת את הערך של העוגייה ומשתמש בפונקציה exploe(פונקצייה חזקה מאוד, שימושית ונוחה http://php.net/manual/en/function.explode.php ) ואז אתה טוען מהמסד נתונים את הערכים לפי המספר משתמש ובודק
הסיסמה שבמסד, אם אצפין אותה עוד הפעם היא זהה למה שיש בעוגייה?
האם הדומיין שיש בעוגייה זהה לדומיין הנוכחי?
וכו' וכו' וכו'. במידה וכן המשתמש מחובר, במידה ולא תמחק את העוגייה ותפנה אותו לעמוד ההתחברות.

מקווה שעזרתי.

BuildDream

29-10-11 13:07

למה להכניס את הדומיין שממנו בוצעה ההתחברות לתוך העוגיה?
זה לא שאם נכנסת לGoogle ונוצרה שם עוגיה עם אותו שם היא תקלט גם באתר שלך.
אני לא מצליח להבין איזה סיבה יש לך להכניס את שם הדומיין, אשמח אם תסביר לי.

daNN	29-10-11 15:24

ציטוט:

נכתב במקור על ידי almog12 (פרסם 823457)

אין שום סיבה לשמור את הדומיין.
העוגייה אמורה להכיל שם משתמש וסיסמא מוצפנת בלבד במקרה של שימוש
באופציה "זכור אותי".
זהו.

link	29-10-11 19:45

סתם פרמטר שעלה לי בראש בשביל הדוגמא לא משהו מיוחד.

Erez | TrustMedia.co.il

29-10-11 21:41

ציטוט:

נכתב במקור על ידי daNN (פרסם 823391)

סשיין זה לא מידע שנשמר אצל המשתמש אז הוא לא יכול לזייף אותו. אצל המשתמש נשמר רק מזהה ייחודי ובשרת נשמרים הסשיינים עם הערכים שלהם ואז לפי המזהה הייחודי זה שולף את הערך.
לכן אי אפשר לערוך את הערך של סשיין.
מה שכן אפשרי זה לגנוב את המזהה הייחודי של מישהו, אבל בכל מקרה אין למשתמש גישה לערך של הסשיין ואין שום טעם להצפין אותו. מספיק להזין שם את האיידי של המשתמש או שם המשתמש וזהו.
כמובן שאם השרת שאתה מאוחסן בו הוא בעל אבטחה אפסית אז זה כבר סיפור אחר ואפשר להשיג גישה למידע, אבל במקרה הנורמלי אין טעם להצפין את הסשיין

daNN	30-10-11 01:20

ציטוט:

נכתב במקור על ידי Erez.info (פרסם 823537)

הדבר היחיד שמזהה את המשתמש זה קוד ראנדומלי שנשלח עם כל בקשה אם תוקף יכול לנחש את הערכים הנכונים הוא יכול להתחזות למשתמש.
וזאת הכוונה בזיוף סיישן רציתי לציין שיש דרך כזאת.

אדיר	30-10-11 08:06

בואו נעשה סדר בעניין יש כאן הרבה אנשים שחושבים שהם משחקים בינגו וזורקים תשובות בתקווה שאולי אחת מהן תהיה נכונה.

המידע הנשמר ב- "סיישן", שמור בעצם בקובץ על השרת שלצורך הדוגמה קוראים לו: sess_1234abcd5678,
ה- sess הינו prefix קבוע לכל קבצי הסיישן על השרת שנועד כדי להגדיר שמדובר בקובץ סיישן,
ה- 1234abcd5678 הינו המזהה הייחודי של הסיישן,
אצל המשתמש תשמר עוגיה בשם כלשהו לדוג' PHPSESSID כאשר הערך שלה הוא המזהה הייחודי של הסיישן, כאמור - 1234abcd1234.

כאשר קיימת הצלבה בין המזהה בעוגיה לשם של קובץ סייישן על השרת - דייהנו מדובר בסיישן של אותו משתמש והמידע שייך אליו.

ל- "זיוף" סיישן יש 2 דרכים עיקריות -
הראשונה היא Session Hijacking, השנייה היא Session Fixation.

בראשונה אנחנו צריכים לאתר את המזהה הקיים של משתמש כלשהו -
כאשר איתרנו אותו, אנחנו מכניסים אותו אצלנו בעוגיה, משמע משנים את המזהה שלנו למזהה שלו,
עכשיו השרת יזהה אותנו כבעלי הסיישן הזה ונוכל לגשת למידע באותו סיישן.

בשנייה אנחנו צריכים לקבוע למשתמש כלשהו מזהה ידוע מראש,
כאשר קבענו לו את אותו מזהה, נשאר לנו רק לחכות שהוא יבצע איתו את הפעולה הרצויה (התחברות לאתר לדוג'),
עכשיו נקבע את אותו מזהה גם לעצמנו - אסטה לה ויסטה.

גישה ישירה לקובץ הסיישן אין לנו, ז"א לא נוכל לקרוא ממנו ישירות את הפרטים (במצב אופטימלי כמובן, כאשר השרת והאפליקציה מאובטחים),
אבל למעשה אנחנו גם לא צריכים, כי אם לדוג' שמורים בסיישן שם המשתמש והסיסמא -
השרת פשוט יזהה אותנו כאותו משתמש ויתחבר אליו, הגענו לאותה מטרה.

ועכשיו בוא נחזור לנושא ואני אומר שוב -
פשוט תלמד להשתמש בעוגיות, סוף.

daNN	30-10-11 08:43

ואיך זה נוגד את הדברים שאמרתי?
הדרך הכי נכונה היא הדרך שציינתי בהודעה הראשונה שלי.
שהיא שימוש גם בSession וגם בעוגיות ביחד! זאת הכוונה שלהם!
הם לא נוגדים אחד את השני אלא אמורים לעבוד ביחד.

ציטוט:

- תיצור כפתור CheckBox של "זכור אותי" לדעת אם לשמור את העוגייה במחשב (אולי המשתמש לא משתמש הרגע במחשב שלו?)
- בדוק עם המסד נתונים אם המשתמש קיים והסיסמא תקינה במקרה אם כן המשך הלאה.
- תגדיר Session במקרה שלא השתמש באופציה "זכור אותי"
- במקרה שכן השתמש באופציה "זכור אותי" תגדיר עוגייה
- בנוסף את הסיסמא תדאג להצפין באחת מההצפנות המוצעות בPHP לדוגמא: md5, sha1, crc32 (מקווה שהבנת שגם הסיסמא במסד נתונים צריכה להיות מוצפנת).

trupix

31-10-11 03:17

לא יצא לי להודות לכם:)

תודה רבה לכולם!

BuildDream

31-10-11 11:45

ציטוט:

נכתב במקור על ידי daNN (פרסם 823470)

אני מודע לזה, בגלל זה שאלתי אותו מה הסיבה שהוא רוצה לעשות את זה.

אני אישית כשאני בונה עוגיה להתחברות אני מכניס את הID הייחודי של המשתמש ואת הסיסמא שלו מוצפנת בצירוף קוד רנדומלי (כדי למנוע את האפשרות המזערית של MD5 Cracker) ולדעתי זאת שיטה מעולה.

כל הזמנים הם GMT +2. הזמן כעת הוא 09:18.