קוקיז או סשן? מה עדיף? - עמוד 5 - הוסטס

eLad · 02-04-06, 19:07

ציטוט:

נכתב במקור על ידי SsH S Scripts

איזה 2 נתונים יכולים לאמת משתמש חוץ מID או USER וסיסמא?
עריכה: ושלא יהיה קל לזייף כי אז כל הרעיון שלך הלך שוב

או, שאלה יפה שאלת, אבל התשובה שלי יותר יפה

בעת ההרשמה, אני קולט שני פרמטרים מהמשתמש נכון? userID ו userPassword.
בשדה נוסף במסד, נקרא לו randNumber אני יוצר בעצמי (המשתמש לא קשור לזה) מספר רנדומאלי של איזה 8 ספרות ומוודא שהוא לא חוזר על עצמו (כלומר לא קיים ברשומות לפני זה).

ואני שומר בעוגייה שני פרמטרים: userID ו randNumber מוצפנים (שים לב, במסד הם בצורה רגילה!).

בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.
במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?

meshuga · 02-04-06, 19:09

ציטוט:

נכתב במקור על ידי eLad

או, שאלה יפה שאלת, אבל התשובה שלי יותר יפה

בעת ההרשמה, אני קולט שני פרמטרים מהמשתמש נכון? userID ו userPassword.
בשדה נוסף במסד, נקרא לו randNumber אני יוצר בעצמי (המשתמש לא קשור לזה) מספר רנדומאלי של איזה 8 ספרות ומוודא שהוא לא חוזר על עצמו (כלומר לא קיים ברשומות לפני זה).

ואני שומר בעוגייה שני פרמטרים: userID ו randNumber מוצפנים (שים לב, במסד הם בצורה רגילה!).

בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.
במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?

על זה חשבתי...:\..ופחדתי.
אז עוד פעם חזרנו לאי הנוחות של הקשת סיסמה כל כניסה...לפי הכתוב כמובן.

אם לא שמת לב:
"אם בא לך לשלוח לי בפרטי איזה תוכנת מסרים...יהיה נחמד לדבר...

"

eLad · 02-04-06, 19:15

ציטוט:

נכתב במקור על ידי meshuga

אז עוד פעם חזרנו לאי הנוחות של הקשת סיסמה כל כניסה...לפי הכתוב כמובן.

חס וחלילה. הוא לא צריך להקיש סיסמא כל כניסה.. אחרת מה הטעם פה?

כנראה שלא הבנת עד הסוף את השיטה

מסרים?
מסנג'ר - elad86@gmail.com (אם מישהו אחר מוסיף אותי, תזדהו!)

~~Eye-Soft~~ · 02-04-06, 19:30

אלעד,
" בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:
במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד."

הגולש לא הקיש שום סיסמא. זה כל הרעיון. אתה אמור לזכור את הסיסמא שהוא הקיש, כדי שהוא תמיד יהיה מזוהה.

~~HighA~~ · 02-04-06, 19:31

אני לא הבנתי
אני אשמח לשמוע
בדיוק מה שeye-soft אמר

somebody · 02-04-06, 19:47

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

miniature · 02-04-06, 19:48

אחלה שיטה אלעד.

~~HighA~~ · 02-04-06, 19:49

אבל אז למה צריך סיסמא?

meshuga · 02-04-06, 19:50

ציטוט:

נכתב במקור על ידי somebody

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

את זה הבנתי אחרי שיחה עם אלעד...יש לו אי סדר של הציר פקודות באלגוריתם.

~~HighA~~ · 02-04-06, 19:50

הוא התנתק לי באמצע :\
לא הבנתי למה צריך סיסמא

02-04-06, 19:47	# 46
somebody A Al Alm Almo Almog! תודה על תרומתך! מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: hadera CiTy גיל: 35 הודעות: 4,005	דווקא מאוד מובן מה שהוא אמר(אלעד). הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה. הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה. יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר. לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא. ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון. __________________ דוא"ל: almog.zimel ב ג'מייל נקודה קום מסנג'ר: almog שטרודל freetopsite נקודה co נקודה il

02-04-06, 19:48	# 47
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	אחלה שיטה אלעד. __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

02-04-06, 19:30	# 44
~~Eye-Soft~~ Permanently Banned מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,158	אלעד, " בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה: במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד." הגולש לא הקיש שום סיסמא. זה כל הרעיון. אתה אמור לזכור את הסיסמא שהוא הקיש, כדי שהוא תמיד יהיה מזוהה.

02-04-06, 19:31	# 45
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 33 הודעות: 833	אני לא הבנתי אני אשמח לשמוע בדיוק מה שeye-soft אמר

02-04-06, 19:49	# 48
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 33 הודעות: 833	אבל אז למה צריך סיסמא?

02-04-06, 19:50	# 50
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 33 הודעות: 833	הוא התנתק לי באמצע :\ לא הבנתי למה צריך סיסמא

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)