ציטוט:
נכתב במקור על ידי בניה
יצא שכל פעם שהגבתי זה היה מפלאפון ולא יכולתי להאריך.
אני ממליץ בחום שקודם תדאג שאתה יודע לכתוב מאובטח ולכתוב מערכת LOGIN בסיסית כמו שצריך ואחר כך תנסה לעשות דברים יותר מתוכחמים.
תקרא מערכות LOGIN של ספריות פופולאריות ותראה איך הם מימשו דברים ואילו פיצ'רים של אבטחה עם עשו.
מה אתה בעצם רוצה לעשות?
אתה בעצם אומר שאם יוזר מחובר, פתאום שולח בקשה מכתובת IP אחרת או עם user agent שונה (אפילו בטיפה...) זה בטח נסיון פריצה.
זו פשוט הנחה לא נכונה.
ופורץ מתוחכם יוכל לזייף בקשה שנראת אותו דבר גם עם הפרמטרים הללו. תלוי ברמת המוטיבציה שלו.
(אני לא אומר שאין שום מקום לעשות הערכות על בסיס כתובת IP וdevice aware login/session כדי לשפר את האבטחה אבל אני לא אכנס לזה כרגע)
|
אתה ממש לא הבנת אותי.
אל תוריד לי מהערך, אני יודע טוב מאוד לבנות מערכות לוגין. אבל בעקבות הפרצות אבטחה שישבמערכת לוגין בסיסית אני חשבתי קדימה.
אני ממש לא אומר ש IP שונה זה ניסיון פריצה, פשוט אם היית מחובר ויש לך עכשיו איי פי אחר -> עכשיו אתה כבר לא תהיה מחובר תצטרך להתחבר מחדש, אין מה לעשות זה נובע כדי לחסום שינויי איי פי מהירים ושיגוע המערכת, זה מונע את האפשרות להציף את המסד על ידי הכנסה יתרה של כתובות איי פי שנשמרות בלוגים ובסיישנים וכו'.
הדבר היחידי ששאלתי, זה איך לחסום גישה אם אני נמצא על אותה רשת (כלומר אותו איי פי), ואני מצליח לזייף את ה USER AGENT של משתמש אחר ומכאן גם את העוגייה שלו, אילו גורמים אפשר עוד לאבטח?
זה כל מה ששאלתי.
נ.ב זה לא מערכת רגילה, אלא מערכת מאובטחת, בלי שום קשר לSSL ולדברים אחרים שיהיו קיימים, אני חייב שהמערכת תהיה מאובטחת בקטע אחר, כלומר שמבחינתי מקסימום זמן התחברות הן 15 דקות ללא פעילות.