סימן זיהוי למשתמש - עמוד 2 - הוסטס

**IgalSt** · 28-07-12, 18:48

ציטוט:

נכתב במקור על ידי xPerfection

אם יש משהו שאולי יעזור לך, זה כנראה יהיה -
http://samy.pl/evercookie

אכן אחד הפתרונות היותר טובים שיש כיום.

משהו נוסף מעניין לציין בנושא זיהוי משתמשים ללא מערכת משתמשים:
אפשר לבצע זיהוי מאוד ייחודי של משתמש על סמך ה-user agent שלו.
יש פה אתר מעניין שמתאר כמה ייחודי ה-user agent של הגולש בו - http://panopticlick.eff.org/

ועוד פוסט מעניין מ-SO שדן בסוגיה הזאת בדיוק

WCMS · 28-07-12, 18:53

למשל אם אתה עושה לפי כתובת האיפי, אני לדוגמא לקוח של גולן טלקום, האיפי כל שניה מתחלף... (אפילו לאתר של הבנק אני לא יכול להתחבר בגלל זה)

BuildDream · 28-07-12, 19:03

ציטוט:

נכתב במקור על ידי WCMS

למשל אם אתה עושה לפי כתובת האיפי, אני לדוגמא לקוח של גולן טלקום, האיפי כל שניה מתחלף... (אפילו לאתר של הבנק אני לא יכול להתחבר בגלל זה)

האמת שזה גם בעיה הפוכה - שיש יותר ממשתמש אחד על אותו הIP

אין זיהוי וודאי ותמיד יהיה אפשר לזייף, אבל יש דרך באינטרנט אקספלורר אפשר לזהות גולש לפי Mac וזאת שיטת זיהוי מאוד חזקה, הבעיה שזה דורש אישור של ActiveX ולא תומך בדפדפנים אחרים חוץ מאקספלורר.

השיטה הכי יעילה בשבילך היא ever cookie ששמו פה... זה כולל עוגיית פלאש, וכשמוחקים עוגיות מהדפדפן זה לא מוחק עוגיות פלאש - מעטים האנשים שמוחקים אותן וככה כמעט ולא יעקפו לך את המנגנון הזה.

itayS · 28-07-12, 19:59

מדהים לראות את הידע פה.
ידוע שכמעט כל מערכת אפשר לפרוץ ולהשתמש בא בזדון,
האם גם פה, בever cookie,יהיה אפשר לפרוץ למערכת?לעשות משהו זדוני?

אדיר · 28-07-12, 20:14

באמצעות evercookie כשלעצמו לא ניתן "לפרוץ" למערכת.
האם ניתן יהיה "לפרוץ" למערכת באמצעות המידע שתקבל מהמנגנון הזה? זה תלוי בצורה שתעבוד איתו ובמה שתעשה בו.

לכל קלט שמתקבל מהמשתמש לרבות הקלט המתקבל מהמנגנון הזה (שהמנגנון למעשה מקבל אותו מהמשתמש) יש להתייחס בחשדנות ולבצע בו בדיקות וסינונים רלוונטים.

BuildDream · 28-07-12, 20:52

מה שever cookie עושה זה לשמור את העוגיה בהמון דרכים שונות (עוגיית פלאש, local storage, עוגיה רגילה, עוגיית Silverlight ועוד.. אפשר למצוא רשימה מלאה באתר שלהם)

ואז אם תמחק עוגיות מהדפדפן אבל לא תמחק עוגיות פלאש - בפעם הבאה שתכנס לאתר הוא יזהה שמחקת את העוגיות הרגילות (הוא יזהה אותך לפי העוגיית לפלאש למשל) ויצור מחדש את העוגיות שמחקת

אם תמחק את כל סוגי העוגיות, הchache, היסטוריה וכו' שever cookie משתמש בו ותשנה אייפי - האתר לא יזהה אותך

מבחינת אבטחת מידע זה זהה לשימוש בעוגיה רגילה, אם תעשה בזה שימוש נכון לא יהיו בזה חורי אבטחה

איציק ברבי · 28-07-12, 21:01

האמין ביותר הוא כתובת פיזית(MAC) אבל לWEB אין גישה לקרוא אותו.
כמו שחבריי אמרו כאן במקרה הזה מערכת משתמשים היא הפתרון הכי אמין שיכול להיות לך.

BuildDream · 28-07-12, 21:22

ציטוט:

נכתב במקור על ידי איציק ברבי

האמין ביותר הוא כתובת פיזית(MAC) אבל לWEB אין גישה לקרוא אותו.
כמו שחבריי אמרו כאן במקרה הזה מערכת משתמשים היא הפתרון הכי אמין שיכול להיות לך.

אפשר לקרוא אותו באקספלורר (דורש אישור ActiveX)

ואני חושב שיש אפשרות גם עם Java (זה אני כבר ממש לא בטוח, זכור לי משהו כזה)

וגם זה לא כ"כ אמין אפשר לזייף את זה בקלות

איציק ברבי · 28-07-12, 21:41

ציטוט:

נכתב במקור על ידי BuildDream

אפשר לקרוא אותו באקספלורר (דורש אישור ActiveX)

ואני חושב שיש אפשרות גם עם Java (זה אני כבר ממש לא בטוח, זכור לי משהו כזה)

וגם זה לא כ"כ אמין אפשר לזייף את זה בקלות

לא כל משתמש יודע להפעיל פקד ActiveX,
ולא לכל משתמש יש את הסביבה של JAVA במחשב,
אתר העלאת תמונות דורש מהירות מריבית.

אני יודע שאפשר להשיג את כתובת הMAC דרך JAVA.

ולא ניתן לזייף כתובת MAC,
כתובת הMAC צרובה על גבי כרטיס הרשת שלך,
אתה מוזמן לבדוק את זה.

BuildDream · 28-07-12, 21:48

ציטוט:

נכתב במקור על ידי איציק ברבי

לא כל משתמש יודע להפעיל פקד ActiveX,
ולא לכל משתמש יש את הסביבה של JAVA במחשב,
אתר העלאת תמונות דורש מהירות מריבית.

אני יודע שאפשר להשיג את כתובת הMAC דרך JAVA.

ולא ניתן לזייף כתובת MAC,
כתובת הMAC צרובה על גבי כרטיס הרשת שלך,
אתה מוזמן לבדוק את זה.

מבחינת תמיכה ומהירות אני יכול להגיד אותו הדבר הל פלאש. עושים בדיקה, אם מותקן אז יש דרך זיהוי נוספת, לעוד לחזק את היכולת זיהוי שלך.

ומבחנת זיוף כתובת Mac - יצא לי לזייף את הכתובת הזאת אצלי במחשב כ"כ הרבה פעמים. אני בטוח שאפשר לזייף במחשב עצמו, אבל אני אישית עשיתי את זה על VM.

28-07-12, 20:14	# 15
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	באמצעות evercookie כשלעצמו לא ניתן "לפרוץ" למערכת. האם ניתן יהיה "לפרוץ" למערכת באמצעות המידע שתקבל מהמנגנון הזה? זה תלוי בצורה שתעבוד איתו ובמה שתעשה בו. לכל קלט שמתקבל מהמשתמש לרבות הקלט המתקבל מהמנגנון הזה (שהמנגנון למעשה מקבל אותו מהמשתמש) יש להתייחס בחשדנות ולבצע בו בדיקות וסינונים רלוונטים. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

28-07-12, 20:52	# 16
BuildDream עסק רשום [?] מיני פרופיל תאריך הצטרפות: Oct 2010 הודעות: 527	מה שever cookie עושה זה לשמור את העוגיה בהמון דרכים שונות (עוגיית פלאש, local storage, עוגיה רגילה, עוגיית Silverlight ועוד.. אפשר למצוא רשימה מלאה באתר שלהם) ואז אם תמחק עוגיות מהדפדפן אבל לא תמחק עוגיות פלאש - בפעם הבאה שתכנס לאתר הוא יזהה שמחקת את העוגיות הרגילות (הוא יזהה אותך לפי העוגיית לפלאש למשל) ויצור מחדש את העוגיות שמחקת אם תמחק את כל סוגי העוגיות, הchache, היסטוריה וכו' שever cookie משתמש בו ותשנה אייפי - האתר לא יזהה אותך מבחינת אבטחת מידע זה זהה לשימוש בעוגיה רגילה, אם תעשה בזה שימוש נכון לא יהיו בזה חורי אבטחה __________________ BuildDream בניית אתרי אינטרנט לשירותך. עסק רשום במס הכנסה ומספק קבלות כחוק. www.BuildDream.co.il - www.iBuild.co.il

28-07-12, 21:01	# 17
איציק ברבי עסק רשום [?] מיני פרופיל תאריך הצטרפות: Feb 2011 הודעות: 970	האמין ביותר הוא כתובת פיזית(MAC) אבל לWEB אין גישה לקרוא אותו. כמו שחבריי אמרו כאן במקרה הזה מערכת משתמשים היא הפתרון הכי אמין שיכול להיות לך. __________________ איציק ברבי - שירות לקוחות כתובת אתר: http://build-net.co.il/ איימל: Support@build-net.co.il טלפון: 052-3937296.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

28-07-12, 18:53	# 12
WCMS חבר מתקדם מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 629	למשל אם אתה עושה לפי כתובת האיפי, אני לדוגמא לקוח של גולן טלקום, האיפי כל שניה מתחלף... (אפילו לאתר של הבנק אני לא יכול להתחבר בגלל זה)

28-07-12, 19:59	# 14
itayS חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2010 הודעות: 237	מדהים לראות את הידע פה. ידוע שכמעט כל מערכת אפשר לפרוץ ולהשתמש בא בזדון, האם גם פה, בever cookie,יהיה אפשר לפרוץ למערכת?לעשות משהו זדוני?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)