העמממ :| אבטחת עוגיה?

[eLad]

ציטוט:

נכתב במקור על ידי MasterNir

בקשר לרעיון של אלעד - המטרה של העוגיה היא לא להחליף את עצמה - להישאר קבועה. לטווח ארוך.. זה קצת מקלקל את הרעיון.

העוגייה לא מחליפה עצמה. העניין הוא גם די פשוט לביצוע והמאובטח ביותר שקיים -

בעת ההרשמה של הגולש יוצרים לו מחרוזת רנדומאלית שאותה אתה שומר בעוגייה מוצפנת עם ה userID או ה userName מוצפנים אף הם.

כל פעם שהגולש מתחבר אתה מאמת את שני הפרמטרים האלו מול המסד ובמידה ואושר אז אתה נותן לו session ומעתה והלאה, בכל השהות שלו באתר שלך (בפרק הזמן הזה) תשתמש ב session כי הגישה אליו מהירה הרבה יותר מאשר לעוגייה. העוגייה תשאר במחשב הגולש עד לפעם הבאה שייכנס לאתר ותצטרך לבצע אימות.

בכל התחברות מחדש של הגולש (אחרי התנתקות) אתה יוצר לו מספר רנדומאלי חדש ואותו שומר בעוגייה.

במידה והעוגייה תגנב, כל מה שיש לעשות הוא להתנתק ולהתחבר מחדש ואז העוגייה שבידי הפורץ לא תהיה שמישה

ציטוט:

נכתב במקור על ידי MasterNir

וגם, ברגע שהפורץ קיבל גישה כבר נכשלת, להוציא אותו שבוע אחרי יהיה נחמד, אבל לא יעיל במיוחד.

במידה והפורץ קיבל גישה, לא האלגוריתם של העוגייה הוא זה שנכשל, אלא התכנות של האתר שלך נכשל כי יש בו XSS. ואין דרך פרקטית להתמודד דרך זה אלא אם כן אתה סותם את ה XSS

ואם השיטה שלי לא יעילה (או לא בטוחה), אתה מוזמן להציע אחת אחרת שתניח את הדעת. אני (ועוד רבים אחרים), לא מצאנו.