הוסטס - פורום אחסון האתרים הגדול בישראל

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - הגנה מגניבת עוגיות (https://hosts.co.il/forums/showthread.php?t=94510)

הגנה מגניבת עוגיות

אהלן ,

יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה
כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' ,
אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו
השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר
למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות

אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה.

ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב.
תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש.

למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים.

זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור:

כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים:
1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי.
2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא).

אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות.

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

ציטוט:

נכתב במקור על ידי morplug (פרסם 830448)

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

לא אין אפשרות למשתמש לעשות את זה, זו הסיבה משתמשים בOCR ולא קוראים את הסשן כשבונים בוטים בCAPTCHA)

ציטוט:

נכתב במקור על ידי morplug (פרסם 830448)

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

תצא מנקודת הנחה שכן. זה לא משנה שלא.

ציטוט:

נכתב במקור על ידי morplug (פרסם 830448)

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

סשין == עוגיה
טוב נו, לא לגמריי. בוא רגע נבין איך הדברים עובדים מאחורי הקלעים:
השרת יוצר איזשהו hash ושומר אותו למשתמש בעוגיה ייעודית.
בנוסף, השרת יודע לקשר את אותו ה-hash לכל המידע שאתה שומר בסשין שלך.
כך שבעצם המשתמש כן יכול לצפות ב-hash (כי זו עוגיה) אבל אין לו גישה למידע עצמו ששמרת על השרת שקשור לאותו הסשין.

אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

ציטוט:

נכתב במקור על ידי morplug (פרסם 830580)

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

אני שומר את הנתונים ככה מכיוון שעם כל רפרש של דף אני בודק אם מישהו התעסק עם הקוקי ע"י בדיקה אם (הצפנה(ססמא בסשיין)) == קוקי ססמא
למה אני שומר את הססמא בקוקי? מכיוון שאם הסשיין נמחק אני יכול לשחזר את הסשיין ע"י הקוקי
-כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף במקרה שכמו שאמרת לשמור רק את ה ID

אם בא לך לקרוא , הנה התרשים זרימה של הקוד שלי בקצרה:

1.התחברות -> משיכה העמודה של הפרטים של המשתמש אל תוך הסשיין ( רק ססמא מוצפנת כרגע מהמסד) + יצירת 3 קוקי , 1 אימייל לא מוצפן , 2ססמא מוצפנת ו3 קוקי אחד שמשלב את האימייל והססמא בהצפנה לצורך אבחנה גם כן

2.מה קורה אם המשתמש סגר את דפדפן? אני מעלה מהמסד את האימייל שבקוקי ובודק אם הסיסמא המוצפנת שווה להצפנה של הססמא שבמסד
ואם כן אני משחזר את הסשיין
כעקרון אני שומר את הסשיין כדי לוודא שהקוקי לא מזוייף ושאני לא אצטרך להתחבר למסד עם כל רפרש של דף