הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [עזרה] cookie (https://hosts.co.il/forums/showthread.php?t=57420)

יניב בן צבי 04-12-07 08:13
[עזרה] cookie
 
היתי מעונין לשמוע על שיטות לשימוש בcookie מאובטח?
חוץ משמירת הסיסמה בוקיז בmd5 מה לעשות כדי שלא יוכלו לפרוץ או לגלות מידע דרך הקוקיז?

Elad-A 04-12-07 09:31
אין יותר מדי מה לאבטח..
אתה צריך לעשות בדיקה בדפים כדי לוודא שלא ערכו את הקוקיז, לדוגמא:

PHP קוד:
$username mysql_real_escape_string($_COOKIE['user']);
$password mysql_real_escape_string($_COOKIE['pass']);

if(!mysql_num_rows(mysql_query("SELECT * FROM `users` WHERE `username` = '$username' AND `password` = '$password' ")))
{
    header('Location: login.php');


יניב בן צבי 04-12-07 10:07
את זה אני יודע אבל אני שואל על שיטות פריצה יש כאלה וכיצד להתמודד איתם כי בעזרת שפו שונות כול אחד יכול לערוך להכין עוגיה

talbeno 04-12-07 10:48
תמיד יוכלו, יש פלאג אין של FF שמאפשר לערוך עוגיות.
מה שכן, אתה יכול פשוט לעשות עוגייה מוצפנת של הססמא, עוגייה מוצפנת של שם המשתמש, ועוגייה עם הID, ולוואדות שכולם מתאימים אחד לשני.

DanielS 04-12-07 12:12
ציטוט:
נכתב במקור על ידי talbeno (פרסם 586784)
תמיד יוכלו, יש פלאג אין של FF שמאפשר לערוך עוגיות.
מה שכן, אתה יכול פשוט לעשות עוגייה מוצפנת של הססמא, עוגייה מוצפנת של שם המשתמש, ועוגייה עם הID, ולוואדות שכולם מתאימים אחד לשני.
תמיד יוכלו השאלה כמה אתה תקשה עליהם.
כמו שאלעד ציין אם עושים עריכת קוקיז הוא נתן פיתרון טוב שבודקים בכל דף אם משתמש כזה קיים.

מעבר לזה אתה יכול להצפין את הקוקיז גם כמובן.
אלו שני פתרונות נוחים וטובים

AlmogBaku 04-12-07 12:46
הקוקיז הוא המידע של המשתמש,
אם אתה תצפין אותו אפילו פעם אחת יהיה מספיק. למה שהמשתמש יפרוץ לעצמו?
כמובן שיש האקרים וכו' וכו'- לכן בכל מקרה מצפינים.

צריך תמיד לזכור את החוק באבטחה:
"תמיד אפשר לפרוץ, השאלה כמה זה משתלם"

יניב בן צבי 04-12-07 13:04
אז יש לי רעיון כזה: אני יעשה מערכת הרשמה שברגע שאתה נרשם אתה רושם את הסיסמה שלך ואתה מקבל id
וברגע שאתה נרשם אתה מקבל "קוד אישי" שהמחשב מגריל בצורה אקראית וכול הנתונים נשמרים במסד
עכשיו ברגע שאתה מנסה להתחבר בשרת תתבצע בדיקה אם השם משתמש והסיסמה קימים
ואם כן תקבל עוגיה עם הסיסמה מוצפנת הid והקוד האישי וכולם חוץ מהid יהיו מוצפנים בmd5
מה אתם אומרים על הרעיון ?

יניב בן צבי 04-12-07 22:00
?

NDVNDV 04-12-07 23:18
זה קצת מיותר.. אתה אפילו יכול לעשות למשל את הסיסמה מוצפנת בMD5 עם aaa123 לפניה/אחריה אם אתה לא רוצה שזה יהיה רק הסיסמה בתוך הMD5...
בזבוז משאבים לעשות כל הזמן קוד מוגרל ולהכניס למסד...

ולמה דאבל? :\


כל הזמנים הם GMT +2. הזמן כעת הוא 17:45.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ