המצאתי שיטה חדשה לאבטחה, כמה אתם אומרים שהיא שווה? - הוסטס

AlmogBaku · 18-10-09, 20:26

אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה.

אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת.
ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות].

בקיצור אל תעשה מעצמך צחוק.
וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

HagaiA · 18-10-09, 21:53

ציטוט:

נכתב במקור על ידי Baku

בקיצור אל תעשה מעצמך צחוק.
וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

אני לא עושה מעצמי צחוק ואני שמח לקבל ביקורות בונות ממכם
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם,
עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי,
חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך,
בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא..

nitsanbn:
אני לא מדבר על התחברות לפאנל אדמין.

TelecarT:
1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.
2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו.
3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID,
בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים,
השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,
חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות.

שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות

Inet · 18-10-09, 22:14

ציטוט:

נכתב במקור על ידי Keyboard_C

אני לא עושה מעצמי צחוק ואני שמח לקבל ביקורות בונות ממכם
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם,
עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי,
חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך,
בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא..

nitsanbn:
אני לא מדבר על התחברות לפאנל אדמין.

TelecarT:
1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.
2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו.
3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID,
בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים,
השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,
חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות.

שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות

מה שתיארת פה גורם לאיבוד המשמעות של הקוקיז, כל הרעיון מאחורי העוגיה היא שהמידע נשמר אצל המחשב של המשתמש גם אם הוא עשה ריסט וכו' אתה תדע את הפרטים.

אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE.

הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית.

HagaiA · 18-10-09, 22:28

ציטוט:

נכתב במקור על ידי Inet

מה שתיארת פה גורם לאיבוד המשמעות של הקוקיז, כל הרעיון מאחורי העוגיה היא שהמידע נשמר אצל המחשב של המשתמש גם אם הוא עשה ריסט וכו' אתה תדע את הפרטים.

אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE.

הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית.

בגלל שזה מורכב אם אני יסביר את הפירוט המלא גם אנשים יוכלו להכין את זה, בעיקרון לא הורדתי מהמשמעות של הקוקיז אלא הוספתי לה כמו "שומר ראש" שבודק מי משנה בה ערכים.

**דניאל** · 18-10-09, 22:47

ציטוט:

נכתב במקור על ידי Keyboard_C

1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.

לא קצת יהיר מצדך?

HagaiA · 18-10-09, 23:11

ציטוט:

נכתב במקור על ידי TelecarT

לא קצת יהיר מצדך?

לא מכיוון שאני מציג דו"ח שמראה את התהליך.

**דניאל** · 18-10-09, 23:16

ציטוט:

נכתב במקור על ידי Keyboard_C

לא מכיוון שאני מציג דו"ח שמראה את התהליך.

הכיוון שלי היה קצת אחר בשאלה שלי,

האם לדעתך אתה יכול להוציא את המוצר "לקהל" לאחר בדיקה שלך בלבד?

או במילים אחרות,
האם היית קונה פלאפון (משכולל ככול שיהיה) במידה וידע שרק אדם אחד ביצע עליו בקרת איכות?
אני חושב שלא.

HagaiA · 18-10-09, 23:27

ציטוט:

נכתב במקור על ידי TelecarT

הכיוון שלי היה קצת אחר בשאלה שלי,

האם לדעתך אתה יכול להוציא את המוצר "לקהל" לאחר בדיקה שלך בלבד?

או במילים אחרות,
האם היית קונה פלאפון (משכולל ככול שיהיה) במידה וידע שרק אדם אחד ביצע עליו בקרת איכות?
אני חושב שלא.

סליחה אם אני זה שלא הסברתי נכון דבר ראשון בזה שאני אומר שאני מציג את הדוח לא אומר שאני מכין את הדו"ח אלא אני ושאר הצוות שלי (PHPSEC) מכינים את הדוח,
יוצא שהבדיקה נערכת כ3-4 פעמים ונכתבת בדו"ח מפורט.

AlmogBaku · 19-10-09, 00:00

ציטוט:

נכתב במקור על ידי Keyboard_C

סליחה אם אני זה שלא הסברתי נכון דבר ראשון בזה שאני אומר שאני מציג את הדוח לא אומר שאני מכין את הדו"ח אלא אני ושאר הצוות שלי (PHPSEC) מכינים את הדוח,
יוצא שהבדיקה נערכת כ3-4 פעמים ונכתבת בדו"ח מפורט.

טוב חבל על הוויכוח, אני לא מצליח להבין למה אתה חושב שאבטחה היא עניין של מסדי נתונים ופונקציות- אבל מדינה חופשית- לא?
רק חבל שתיתבע על מיליונים כיגידו לך שלא המצאת כלום, ושאתה ספקולטור.

אני מאוד מצטער, אבל אתה לא באמת עוסק באבטחת מידע אמיתית - אתה סתם יודע כמה פונקציות נחמדות. ואולי אתה מתכנת טוב, אבל זה לא קשור בכלל.
ובאמת ובתמים, אני יודע שזה מרגיז ואתה ברגע זה ממש לא סובל אותי- אבל אי אפשר ככה, חייבים לשמור על מקצועיות. אין דבר כזה קידוד ואין דבר כזה מאבטח קוד. תשמרו על מקצועיות ואת תבלבלו את השכל. והעניין הוא שאתה פשוט הקש ששבר את גב הגמל.

דניאל- אני לא מבין בכלל על מה הוויכוח פה, אני ואתה יודעים שעל מה שהוא מדבר לא מספיק להגיד "יש לי וזה עובד" אלא שבמקרים האלו צריך להציג הסבר כללי על האלגוריתם ולהשאיר הרבה פערי מידע, אבל כמו שהבנת במקרה שלו הסבר כללי הוא כל הרעיון ואין מאחורי זה שום מחקר אמיתי.

אדיר · 19-10-09, 18:31

ציטוט:

נכתב במקור על ידי Keyboard_C

השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,

נו אז זה בדיוק כמו שאמרתי..

שימוש ב- IP לצורך הנ"ל זה משהו ידוע ונפוץ,
אך זה גם משהו שמגביל את המשתמשים ולכן לא הרבה משתמשים בזה,
אלא אם כן באמת צריך (או לפחות הם חושבים ככה).


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-10-09, 20:26	# 1
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה. אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת. ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות]. בקיצור אל תעשה מעצמך צחוק. וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)