[Eye-Soft]

ציטוט:

נכתב במקור על ידי somebody

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

[Balrog]

ציטוט:

נכתב במקור על ידי Eye-Soft

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

אני כרגע לא רואה ייתרון באבטחה (מלבד שלא יוכלו לשחזר את הסיסמא של מישהו במידה והיא מתאימה לעוד מקומות) - ניתן באמת להעתיק את התוכן של העוגיה למחשב שלי, והאתר יחשוב שאני מחובר כבר.

בעצם במחשבה שניה (מצחיק שאני חושב תוך כדי כתיבה, אבל ככה יצא), נניח שמגבילים פעולות מסויימות, כמו החלפת סיסמא ומחיקת משתמש בכך שצריך להזין עוד פעם את הסיסמא. ואז במידה ומישהו פורץ חשבון, הוא יכול קצת להרוס, אבל לא למחוק לגמרי, ואז כאשר המשתמש המקורי יגלה שפרצו לו, רק הוא יוכל להחליף סיסמא (כי רק הוא יודע תסיסמא המקורית).

וכנראה שאנחנו המתכנתים ממש נואשים למצוא דרכים בטוחות לבנות אתר. מתי נמצא דרך בטוחה יותר?

[eLad]

קודם כל, נפלה טעות הקלדה קטנה. אין שום צורך בהקדלת הסיסמא מחדש. לא צריך להרוג בנאדם בשביל זה

סה"כ מה שאני שומר בעוגייה זה שני דברים:
ID של משתמש
קוד רנדומאלי שיצרתי לו (כמובן שבעוגייה זה מוצפן ובמסד זה לא מוצפן)

בכל התחברות מחדש (אחרי התנתקות יזומה) של המשתמש בפורום שלי, אני מחליף את הקוד הרנדומאלי שיצרתי בקוד רנדומאלי אחר.

ציטוט:

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

ממש לא! זה הרבה יותר מאובטח מהשמת סיסמא בעוגייה!

קודם כל נקדים ונאמר שנגד XSS אין שום פתרון ואם גנבו את העוגייה אז המצב קשה וצריך לבדוק איך בדיוק תוכנת האתר.

למה זה יותר מאובטח? אתה תשים סיסמא מוצפנת בעוגייה. אני אגנוב לך את העוגייה ואז אני יכול לפענח בקלות את הסיסמא של המשתמש (אני לא צריך לדעת את הסיסמא המקורית, מספיק שאני מחפש ביטוי באינטרנט שמחזיר לי את אותו פלט md5) ואז החלק החשבון משתמש פייפל.

בשיטה שלי במידה ונגנבה העוגייה, המשתמש סה"כ צריך להתנתק מהחשבון שלו ולהתחבר מחדש ובכל נוצר לו קוד רנדומאלי חדיש חדש והעוגייה שבידי הגנב לא שמישה עוד.

[miniature]

אחלה שיטה אלעד.

[HighA]

אבל אז למה צריך סיסמא?

[HighA]

הוא התנתק לי באמצע :\
לא הבנתי למה צריך סיסמא

[null]

לא מובן לי את הקטע שהמשתמש מקיש סיסמה.
אחרי אם הוא מסמן "זכור אותי" זה שומר רק ID ומס' רמדומלי קבוע למשתמש
אז אם איפה בידיוק הוקשה הסיסמה?

[miniature]

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

[null]

ציטוט:

נכתב במקור על ידי miniature

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

לא נוצר קוקי?

[somebody]

ציטוט:

נכתב במקור על ידי miniature

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

אז לא מושתל קוקיז על המחשב ורק מופעל SESSION עם הקוד הרנדומלי+ה ID.
או יכול להיות שרק קוקיז שיש בו ערך שמאשר.