ציטוט:
נכתב במקור על ידי tnadav
זה פתרון דווקא בסדר גמור.
אם תהיה לנו עוגיה אחת שמכילה שם משתמש, כל אחד יכול לשנות את השם משתמש ל- Admin, והנה המערכת נפרצה ב.. חצי דקה?
אבל.. אם יש לנו עוגיה אחת משתמש ועוגיה אחת סיסמא, ומן הסתם בודקים אם השם משתמש והסיסמא נכונים, הפורץ צריך לדעת את הסיסמא בשביל לפרוץ.
הבעיה היחידה פה, היא, שיש חור ל- Brute Force, ואת זה אי-אפשר לחסום, בניגוד ל- LOGIN רגיל.
לכן, הנה מה שאני עושה:
במסד נתונים, טבלה בשם SESSIONS ושם יש ID מוצפן של SESSION, וסיסמא ל- SESSION ושם משתמש של המשתמש וסיסמא של המשתמש, ואז בעוגיה יש רק ID מוצפן של SESSION וסיסמא של SESSION והמידע על העוגיה, בכלל לא רלוונטי (אפשר לגנוב עוגיות, אבל את זה אפשר לחסום ע"י הגבלת IP של SESSION)
ואז בכלל אפשר לשלב את זה עם סטטיסטיקה וכו'..
|
שוב אני חוזר על השאלה - למה שתי עוגיות?
בעוגיה אחת אי אפשר להכניס 2 פרמטרים לבדיקה? אי אפשר להכניס 3 ו 4 פרמטרים? אפשר להכניס גם מיליון פרמטרים עד ההגבלה של 4KB לעוגייה. תאמין לי שלא פשוט להגיע לזה..
בקיצור: מיותר ובזבזני לכתוב שתי עוגיות. מספיק גם עוגייה אחת שבה אפשר להכניס גם פרמטרים שרק תרצה (שם משתמש, סיסמא, מחרוזת רנדומאלית, SID, תאריך לידה, כתובת מגורים וגם איך קוראים לאחותו ומתי פעם אחרונה שכבה).
ציטוט:
נכתב במקור על ידי Eli-Hai
כשאתה משתמש בסיסמאות סטנדרטיות, אז אולי.
אם למשל אתה משתמש בקוד שמסמל בעבורך משהו - מספר טלפון, תאריך לידה ומספרים שלא כולם משתמשים בהם, הסיכוי שאיזה מנוע של האשים יכיל את הסיסמא המוצפנת והלא מוצפנת הוא סיכוי של 1 למיליון לדעתי.
|
לא רק בנוגע לסיסמאות סטנדרטיות אלא גם אם תיקח מאמר שלם ותגבב אותו, יכול להיות שהפלט שלו יהיה הפלט של המילה "password". שתדע לך, יש מחשבי על שרצים 24/7/365 במטרה לפצח צפנים מסוג זה ולמצוא עוד מספרים ראשוניים. אשמח לראות את החישוב של 1 למיליון (
).