הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

MAORBARI · 29-11-14, 16:26

היי,
אני בונה מערכת שההתחברות מבוססת על האש שלא מכיל פרטים רגישים כמו שם משתמש, סיסמה או אימייל ב HASH שלה.

ה HASH מורכב מ IP, USER AGENT ו SALT.
השאלה שלי היא, אני יודע שאיי פי ויוזר אג'נט אפשר לשנות, ואז אפשר להתחבר אל משתמש אחר על ידי גניבת ההאש שלו.
השאלה שלי היא אילו עוד מאפיינים מיוחדים אפשר לקחת, שלא יוכלו לזייף התחברות.

ועוד שאלה קטנה, גם אם הייתי משתמש בסיסמה ושם משתמש ועוד מאפיינים, בסופו של דבר הכל יתבסס על זיהוי המשתמש שנעשה על ידי IP ועל ידי USER AGENT. לכן גם אז אם יזייפו את ה IP וה USER AGENT ויעתיקו את זה ממישהו אחר, יוכלו להכנס למשתמש שלו על ידי העתקה של הקוקיס מהמחשב שלו בצורה מאוד פשוטה.

איך מונעים את זה? (אני משתמש בקוקיס ובמערכת סיישנים מבוססת מסד שאני יצרתי).

תודה.

29-11-14, 16:26	# 1
MAORBARI חבר מתקדם מיני פרופיל תאריך הצטרפות: Sep 2008 הודעות: 484	זיהוי משתמש לפי מאפיינים מיוחדים היי, אני בונה מערכת שההתחברות מבוססת על האש שלא מכיל פרטים רגישים כמו שם משתמש, סיסמה או אימייל ב HASH שלה. ה HASH מורכב מ IP, USER AGENT ו SALT. השאלה שלי היא, אני יודע שאיי פי ויוזר אג'נט אפשר לשנות, ואז אפשר להתחבר אל משתמש אחר על ידי גניבת ההאש שלו. השאלה שלי היא אילו עוד מאפיינים מיוחדים אפשר לקחת, שלא יוכלו לזייף התחברות. ועוד שאלה קטנה, גם אם הייתי משתמש בסיסמה ושם משתמש ועוד מאפיינים, בסופו של דבר הכל יתבסס על זיהוי המשתמש שנעשה על ידי IP ועל ידי USER AGENT. לכן גם אז אם יזייפו את ה IP וה USER AGENT ויעתיקו את זה ממישהו אחר, יוכלו להכנס למשתמש שלו על ידי העתקה של הקוקיס מהמחשב שלו בצורה מאוד פשוטה. איך מונעים את זה? (אני משתמש בקוקיס ובמערכת סיישנים מבוססת מסד שאני יצרתי). תודה. Last edited by MAORBARI; 29-11-14 at 17:05..