הגנה מגניבת עוגיות - הוסטס

morsrh · 01-01-12, 15:09

אהלן ,

יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה
כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' ,
אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו
השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר
למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות

אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה.

**IgalSt** · 01-01-12, 15:37

ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב.
תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש.

satan · 01-01-12, 15:44

למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים.

זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור:

כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים:
1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי.
2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא).

אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות.

morsrh · 01-01-12, 15:48

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

Haimz · 01-01-12, 16:04

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

לא אין אפשרות למשתמש לעשות את זה, זו הסיבה משתמשים בOCR ולא קוראים את הסשן כשבונים בוטים בCAPTCHA)

satan · 01-01-12, 21:01

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

תצא מנקודת הנחה שכן. זה לא משנה שלא.

**IgalSt** · 02-01-12, 01:07

ציטוט:

נכתב במקור על ידי morplug

עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

סשין == עוגיה
טוב נו, לא לגמריי. בוא רגע נבין איך הדברים עובדים מאחורי הקלעים:
השרת יוצר איזשהו hash ושומר אותו למשתמש בעוגיה ייעודית.
בנוסף, השרת יודע לקשר את אותו ה-hash לכל המידע שאתה שומר בסשין שלך.
כך שבעצם המשתמש כן יכול לצפות ב-hash (כי זו עוגיה) אבל אין לו גישה למידע עצמו ששמרת על השרת שקשור לאותו הסשין.

morsrh · 02-01-12, 14:27

אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

**IgalSt** · 02-01-12, 14:41

ציטוט:

נכתב במקור על ידי morplug

אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

Haimz · 02-01-12, 18:31

ציטוט:

נכתב במקור על ידי IgalSt

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

במקרה של מחיקת משתמש, הוא עדיין ישאר מחובר (חסרון קטן, אבל חסרון גדול באדמין פאנל)
ובמקרה שזו עוגייה, עריכת האיידי שלה פשוט תיתן חיבור לכל משתמש אחר ..
כך שזה רעיון לא כל כך טוב,

לפותח האשכול:
תשמור את השם משתמש ואת הסיסמה(בהצפנה חד כיוונית) [מומלץ את שניהם בהצפנה דו כיוונית]
ולפי זה תעשה בדיקה באתר..
זה שהוא יערוך את העוגייה לא גורם לזה להיות דבר לא מאובטח, כי כדי לערוך את העוגייה הוא צריך פרטים.

מה שאתה צריך לחשוב לאבטח זה את הצד שרת, שם אל תהווה חורי אבטחה
צד לקוח - לא משנה מה, תמיד יהיה אפשר לשנות ככה שזה נעים שתעשה בדיקה
אבל אם בן אדם משנה משהו ורואה שזה לא פועל, הוא מבין עם מה הוא מתעסק
אין לך מה לדאוג, בהצלחה

01-01-12, 15:09	# 1
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	הגנה מגניבת עוגיות אהלן , יצרתי ממשק התחברות ויש לי בעיה אחת שאני לא כל כך סגור עליה כשמשתמש מתחבר נוצרות עוגיות שמאמתות שהוא משתמש וכו' , אם אני יעתיק את העוגיות האלה ממחשב למחשב המשתמש יהיה מחובר איפה שהעוגיות יהיו השאלה שלי היא אם זה נחשב לחור באבטחה שאיפה שהעוגיות יהיו המשתמש יהיה מחובר למרות שההתחברות לא התבצעה דרך המחשב שהועתקו אליו העוגיות אם זה כן נחשב לחור אבטחה מה אני יכול לעשות בנידון , תודה. Last edited by morsrh; 01-01-12 at 15:44..

01-01-12, 15:37	# 2
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 38 הודעות: 1,432	ה- user agent הוא יחסית מאוד ייחודי בין מחשב למחשב ואפילו בן דפדפנים באותו המחשב. תוכל לבנות איזשהו hash באמצעותו שיכלול גם איזשהו סולט ייחודי לכל משתמש. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1

01-01-12, 15:44	# 3
satan חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 1,582	למרות שזה לא נראה לי נחוץ, אבל אפשר להיות יצירתיים. זה סתם משהו שחשבתי עליו עכשיו כך שאולי צריך שיפור: כל פעם שכל משתמש נכנס לאתר אתה מעלה לו את המספר התחברויות ב+ אחד. ואת המספר הישן שומר בקוקיז(מוצפן עדיף)ואז קורים מספר דברים: 1. האקר גנב למשתמש קוקיז ומנסה להתחבר עם קוקיז, אבל בקוקיז: או שאין קוקיז עם מספר התחברויות או שיש אבל מספר התחברויות ישן מדי\שגוי. במצב כזה עליך למחוק את כל הקוקיז של אותו משתמש\האקר שמנסה להתחבר עם מספר התחברויות שגוי. 2. המשתמש עצמו הלגיטימי מתחבר מהבית, ואחר כך גם מתחבר מהסיפרייה בבית ספר. ואז כשהוא ינסה להתחבר (המשתמש הלגיטימי) מהבית אחרי שהתחבר מהסיפרייה כל שעליך לעשות זה לדרוש ממנו להתחבר שוב ע"י הקלדת סיסמא (כי המס' לוגין שלו בבית שונה מהמספר במסד נתונים כי הוא התחבר כבר מהספריה לכן הוא ידרש להתחבר מחדש בבית ע"י הקלדת הסיסמא). אני מאמין שזה מכסה יותר, אבל שוב חשבתי על זה כרגע אז אולי יש פה פרצות. __________________ פנוי לעבודה כמתכנת WEB - למידע נוסף: ליאור אמסלם. בניית אתרים באינטרנט - בלוג על בניית אתרים באינטרנט עם טיפים, מאמרים, מדריכי תכנות ועוד. משחקים אתר משחקים


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

01-01-12, 15:48	# 4
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	עוד שאלה , האם המשתמש יכול לראות בכל דרך כלשהיא את ה session שנוצר ע"י האתר?

02-01-12, 14:27	# 8
morsrh חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2010 מיקום: אשקלון. גיל: 31 הודעות: 444	אז אם אני מבין נכון לצורך דוגמא אם אני שומר פרטים מלאים של המשתמש כלומר שם מהתמש וססמא לא מוצפנים על הסשין המידע בטוח מפני האקר?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)