הרשם שאלות ותשובות רשימת חברים לוח שנה הודעות מהיום

חזור   הוסטס - פורום אחסון האתרים הגדול בישראל > עיצוב גראפי, תכנות על כל שפותיו וקידום ושיווק אתרים > פורום תיכנות
טען מחדש דף זה אבטחה של מערכת תוכן

   
|!|

השב
עמוד 2 מתוך 3 1 2 3
 
כלים לאשכול תצורת הצגה
ישן 15-01-07, 19:53   # 1
CodeX
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2006
הודעות: 172

CodeX לא מחובר  

כל מה שצריך זה למנוע XSS, יש פונקציה בשם htmlspecialchars =]
  Reply With Quote
ישן 15-01-07, 20:30   # 2
Eli-Hai
משתמש - היכל התהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
הודעות: 2,758

Eli-Hai לא מחובר  

דרושים המון משאבים כדי לפענח את MD5, ואם תצפין אותה 5 פעמים, אתה תקשה עוד ועוד. ואנשים יתעייפו מלנסות לפענח, ולפענח ולפענח.
  Reply With Quote
ישן 15-01-07, 20:32   # 3
eLad
Fatal Error
 
eLad's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: localhost
גיל: 38
הודעות: 1,968

eLad לא מחובר  

ציטוט:
נכתב במקור על ידי Eli-Hai צפה בהודעה
דרושים המון משאבים כדי לפענח את MD5, ואם תצפין אותה 5 פעמים, אתה תקשה עוד ועוד. ואנשים יתעייפו מלנסות לפענח, ולפענח ולפענח.
ונראה לך שזה כזה פשוט לשרת להצפין את זה 5 פעמים וכל פעם שהוא בודק את ערכי העוגייה מול מסד זה עוד 5 פעמים הצפנה?

וזה לא משנה כמה הצפנה על הצפנה תעשה. MD5 זה גיבוב. לא הצפנה (אפילו אין מפתח). הרי יכול להיות שהגיבוב של "12345" והגיבוב של "elad" הוא אותו אחד בדיוק..

אז מה שעושים זה פשוט מריצים את המחרוזת שלקחתי מהעוגייה בגוגל ומקבלים איזשהו פלט שיכול להתאים..
__________________
eLad
  Reply With Quote
ישן 16-01-07, 14:11   # 4
Eli-Hai
משתמש - היכל התהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
הודעות: 2,758

Eli-Hai לא מחובר  

ציטוט:
נכתב במקור על ידי eLad צפה בהודעה
ונראה לך שזה כזה פשוט לשרת להצפין את זה 5 פעמים וכל פעם שהוא בודק את ערכי העוגייה מול מסד זה עוד 5 פעמים הצפנה?

וזה לא משנה כמה הצפנה על הצפנה תעשה. MD5 זה גיבוב. לא הצפנה (אפילו אין מפתח). הרי יכול להיות שהגיבוב של "12345" והגיבוב של "elad" הוא אותו אחד בדיוק..

אז מה שעושים זה פשוט מריצים את המחרוזת שלקחתי מהעוגייה בגוגל ומקבלים איזשהו פלט שיכול להתאים..
כשאתה משתמש בסיסמאות סטנדרטיות, אז אולי.
אם למשל אתה משתמש בקוד שמסמל בעבורך משהו - מספר טלפון, תאריך לידה ומספרים שלא כולם משתמשים בהם, הסיכוי שאיזה מנוע של האשים יכיל את הסיסמא המוצפנת והלא מוצפנת הוא סיכוי של 1 למיליון לדעתי.
  Reply With Quote
ישן 19-01-07, 19:53   # 5
eLad
Fatal Error
 
eLad's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: localhost
גיל: 38
הודעות: 1,968

eLad לא מחובר  

ציטוט:
נכתב במקור על ידי tnadav צפה בהודעה
זה פתרון דווקא בסדר גמור.
אם תהיה לנו עוגיה אחת שמכילה שם משתמש, כל אחד יכול לשנות את השם משתמש ל- Admin, והנה המערכת נפרצה ב.. חצי דקה?
אבל.. אם יש לנו עוגיה אחת משתמש ועוגיה אחת סיסמא, ומן הסתם בודקים אם השם משתמש והסיסמא נכונים, הפורץ צריך לדעת את הסיסמא בשביל לפרוץ.
הבעיה היחידה פה, היא, שיש חור ל- Brute Force, ואת זה אי-אפשר לחסום, בניגוד ל- LOGIN רגיל.
לכן, הנה מה שאני עושה:
במסד נתונים, טבלה בשם SESSIONS ושם יש ID מוצפן של SESSION, וסיסמא ל- SESSION ושם משתמש של המשתמש וסיסמא של המשתמש, ואז בעוגיה יש רק ID מוצפן של SESSION וסיסמא של SESSION והמידע על העוגיה, בכלל לא רלוונטי (אפשר לגנוב עוגיות, אבל את זה אפשר לחסום ע"י הגבלת IP של SESSION)
ואז בכלל אפשר לשלב את זה עם סטטיסטיקה וכו'..
שוב אני חוזר על השאלה - למה שתי עוגיות?
בעוגיה אחת אי אפשר להכניס 2 פרמטרים לבדיקה? אי אפשר להכניס 3 ו 4 פרמטרים? אפשר להכניס גם מיליון פרמטרים עד ההגבלה של 4KB לעוגייה. תאמין לי שלא פשוט להגיע לזה..

בקיצור: מיותר ובזבזני לכתוב שתי עוגיות. מספיק גם עוגייה אחת שבה אפשר להכניס גם פרמטרים שרק תרצה (שם משתמש, סיסמא, מחרוזת רנדומאלית, SID, תאריך לידה, כתובת מגורים וגם איך קוראים לאחותו ומתי פעם אחרונה שכבה).

ציטוט:
נכתב במקור על ידי Eli-Hai צפה בהודעה
כשאתה משתמש בסיסמאות סטנדרטיות, אז אולי.
אם למשל אתה משתמש בקוד שמסמל בעבורך משהו - מספר טלפון, תאריך לידה ומספרים שלא כולם משתמשים בהם, הסיכוי שאיזה מנוע של האשים יכיל את הסיסמא המוצפנת והלא מוצפנת הוא סיכוי של 1 למיליון לדעתי.
לא רק בנוגע לסיסמאות סטנדרטיות אלא גם אם תיקח מאמר שלם ותגבב אותו, יכול להיות שהפלט שלו יהיה הפלט של המילה "password". שתדע לך, יש מחשבי על שרצים 24/7/365 במטרה לפצח צפנים מסוג זה ולמצוא עוד מספרים ראשוניים. אשמח לראות את החישוב של 1 למיליון ().
__________________
eLad
  Reply With Quote
ישן 19-01-07, 20:04   # 6
DevZone.co.il
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Jan 2007
הודעות: 225

DevZone.co.il לא מחובר  

דקה, אז מה כדאי לעשות?
ליצור עוגייה אחת שמה היא מכילה סיסמה ושם משתמש?
ואז לעשות אימות העוגייה עם הסיסמה ושם המשתמש?
ואיך אני מכניס שני ערכים לעוגייה אחת?
תודה.
  Reply With Quote
ישן 19-01-07, 21:23   # 7
tnadav
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Oct 2006
הודעות: 216

tnadav לא מחובר  

ציטוט:
נכתב במקור על ידי eLad צפה בהודעה
שוב אני חוזר על השאלה - למה שתי עוגיות?
בעוגיה אחת אי אפשר להכניס 2 פרמטרים לבדיקה? אי אפשר להכניס 3 ו 4 פרמטרים? אפשר להכניס גם מיליון פרמטרים עד ההגבלה של 4KB לעוגייה. תאמין לי שלא פשוט להגיע לזה..

בקיצור: מיותר ובזבזני לכתוב שתי עוגיות. מספיק גם עוגייה אחת שבה אפשר להכניס גם פרמטרים שרק תרצה (שם משתמש, סיסמא, מחרוזת רנדומאלית, SID, תאריך לידה, כתובת מגורים וגם איך קוראים לאחותו ומתי פעם אחרונה שכבה).


לא רק בנוגע לסיסמאות סטנדרטיות אלא גם אם תיקח מאמר שלם ותגבב אותו, יכול להיות שהפלט שלו יהיה הפלט של המילה "password". שתדע לך, יש מחשבי על שרצים 24/7/365 במטרה לפצח צפנים מסוג זה ולמצוא עוד מספרים ראשוניים. אשמח לראות את החישוב של 1 למיליון ().
אם אתה רוצה עוגיה אחת, סבבה, אבל ממה שהבנתי, בשאלה שלך שאלת למה להוסיף עוד פרמטר ושהוא סתם מיותר, וזאת היתה הפואנטה ברעיון, בקיצור, עזוב אותך מקטנות
__________________
"אני לא מעצב גרפי... אני לא פלאשר תותח... בטח שלא מנכ"ל של חברת בניית אתרים, כעיקרון אסור לי להיות מועסק.. אבל אני... מתכנת ב-PHP , וגם, לא ממש מציעה.." (יצא לי מוזר משהו...חח)
  Reply With Quote
ישן 20-01-07, 12:56   # 8
omercnet
אחראי פורום תחזוק שרתים
 
מיני פרופיל
תאריך הצטרפות: Aug 2006
גיל: 38
הודעות: 722

omercnet לא מחובר  

ציטוט:
נכתב במקור על ידי eLad צפה בהודעה
ונראה לך שזה כזה פשוט לשרת להצפין את זה 5 פעמים וכל פעם שהוא בודק את ערכי העוגייה מול מסד זה עוד 5 פעמים הצפנה?

וזה לא משנה כמה הצפנה על הצפנה תעשה. MD5 זה גיבוב. לא הצפנה (אפילו אין מפתח). הרי יכול להיות שהגיבוב של "12345" והגיבוב של "elad" הוא אותו אחד בדיוק..

אז מה שעושים זה פשוט מריצים את המחרוזת שלקחתי מהעוגייה בגוגל ומקבלים איזשהו פלט שיכול להתאים..
אתה חי בסרט.
אחוזי collision של MD5 הם אפסיים, ועד היום לא הצליחו ליצור משהו שייצר לך מחרוזת שמחזירה את אותו checksum
מה שיש זה רק rainbow tables ולא לכל ילד יש כאלה, וזה עוד רק אחרי שנכנסים לך לDB ולוקחים את זה..

MD5 מספיק ביותר.
__________________
Omer Cohen
Information Security Specialist
eBaY Inc
Last edited by omercnet; 20-01-07 at 13:42..
  Reply With Quote
ישן 20-01-07, 18:47   # 9
BlueNosE
אין כמו ב127.0.0.1
 
BlueNosE's Avatar
 
מיני פרופיל
תאריך הצטרפות: Oct 2005
מיקום: כפ"ס
גיל: 32
הודעות: 4,086

BlueNosE לא מחובר  

ציטוט:
נכתב במקור על ידי omercnet צפה בהודעה
אתה חי בסרט.
אחוזי collision של MD5 הם אפסיים, ועד היום לא הצליחו ליצור משהו שייצר לך מחרוזת שמחזירה את אותו checksum
מה שיש זה רק rainbow tables ולא לכל ילד יש כאלה, וזה עוד רק אחרי שנכנסים לך לDB ולוקחים את זה..

MD5 מספיק ביותר.
אולי שכחת אבל היום הסיסמאות הם לא "דג קטן שט לו בים זך אך לפתע מצב חבורה נחמדה שצצה כך", אלא "dsl308" או "mao01MA" וכדומה.
הסיכוי לפרוץ את זה עם RAINBOW TABLES יותר גבוה, והפריצה אפשרית עם בדיקה ברוטלית פשוטה של CAIN.
__________________
עומר,
admin [@] rely.co.il

בניית אתרים Rely

סלנג מילון סלנג utter
  Reply With Quote
ישן 16-01-07, 16:13   # 10
DevZone.co.il
חבר בקהילה
 
מיני פרופיל
תאריך הצטרפות: Jan 2007
הודעות: 225

DevZone.co.il לא מחובר  

במשתמשים אני פשוט יוצר עוגייה ובודק אם היא קיימת, וזה נראה לי לא כ"כ מאובטח, כיצד אפשר לאבטח את זה?
חוץ מזה, אין לי בעיה.
  Reply With Quote
השב
עמוד 2 מתוך 3 1 2 3

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

« אשכול קודם | אשכול הבא »

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה
קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 15:04.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ
- שרת ייעודי - מדריך בניית אתרים - צור קשר - הוסטס - אחסון אתרים - ארכיון - ראשי