ציטוט:
נכתב במקור על ידי אדיר
לא לגמרי הבנתי, למה שם משתמש וסיסמא לא מתאימים לך? מה אתה מנסה לעשות?
|
תראה למדתי קצת אבטחת מידע,
הבנתי שבניית האש בצורה נכונה, אמורה להכיל כמה שפחות דברים רגישים, כמו סיסמאות.
לכן אני בניתי האש שבעצם מורכב מאיי פי ויוזר אג'נט, וסלט.
תראה שלבי האימות נעשים כך אחרי שאתה מחובר:
יש האש במסד (במערכת סיישנים) שהוא בעצם המזהה של הסיישן, כמובן שבאותה שורה יש לך עוד פרטים כמו איי די משתמש, פעילות אחרונה וכו'.
אותו האש שמופיע בסיישן צריך להופיע בקוקיס שנפתח בהתחברות.
בעצם בכל רענון, מתבצע בדיקה על ההאש בקוקיס, שהאיי פי והיוזר אג'נט שנמצאים בהאש באמת שייכים למשתמש, והאם ההאש בכלל נמצא במערכת סיישנים שעל המסד.
אם האימות עבר בהצלחה - אתה מחובר למשתמש שמופיע במערכת סיישנים במסד.
מכאן שאם אני באותה רשת ואני מעתיק יוזר אג'נט של המשתמש ואת הקוקיס שלו אני מצליח להתחבר אליו גם בלי צורך בהתחברות אמיתית שמכילה שם משתמש וסיסמה.
ומכאן השאלה היא איך פותרים את הדבר הכל כך מחרפן הזה?