הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
01-12-14, 18:28 | # 11 |
חבר מתקדם
|
|
01-12-14, 22:04 | # 12 |
חבר בקהילה
|
|
02-12-14, 09:42 | # 13 | |
משתמש - היכל התהילה
|
ציטוט:
מה יקרה אם המשתמש מתחבר מהפלאפון והלפטופ בבית שלו? מה קורה אם הוא מתחבר משני דפדפנים שונים? מה קורה אם הip בבית שלו השתנה/גלש מבית קפה? אתה רוצה לנתק תשתמש? יש מערכות התחברות שלוקחות בחשבון *גם* את הנתונים האלה אבל חבל על הזמן שלך. בלי להבין אותם טוב אתה רק תעשה באגים שימררו תחיים למשתמשים שלך. תעשה עוגיות http only ותפעיל SSL וזה כבר יקשה על לגנוב תעוגיות
__________________
קו ישר, כי אפשר גם אחרת |
|
02-12-14, 14:34 | # 14 |
משתמש - היכל התהילה
|
יצא שכל פעם שהגבתי זה היה מפלאפון ולא יכולתי להאריך.
אני ממליץ בחום שקודם תדאג שאתה יודע לכתוב מאובטח ולכתוב מערכת LOGIN בסיסית כמו שצריך ואחר כך תנסה לעשות דברים יותר מתוכחמים. תקרא מערכות LOGIN של ספריות פופולאריות ותראה איך הם מימשו דברים ואילו פיצ'רים של אבטחה עם עשו. מה אתה בעצם רוצה לעשות? אתה בעצם אומר שאם יוזר מחובר, פתאום שולח בקשה מכתובת IP אחרת או עם user agent שונה (אפילו בטיפה...) זה בטח נסיון פריצה. זו פשוט הנחה לא נכונה. ופורץ מתוחכם יוכל לזייף בקשה שנראת אותו דבר גם עם הפרמטרים הללו. תלוי ברמת המוטיבציה שלו. (אני לא אומר שאין שום מקום לעשות הערכות על בסיס כתובת IP וdevice aware login/session כדי לשפר את האבטחה אבל אני לא אכנס לזה כרגע)
__________________
קו ישר, כי אפשר גם אחרת |
03-12-14, 19:06 | # 15 | |
חבר מתקדם
|
ציטוט:
אל תוריד לי מהערך, אני יודע טוב מאוד לבנות מערכות לוגין. אבל בעקבות הפרצות אבטחה שישבמערכת לוגין בסיסית אני חשבתי קדימה. אני ממש לא אומר ש IP שונה זה ניסיון פריצה, פשוט אם היית מחובר ויש לך עכשיו איי פי אחר -> עכשיו אתה כבר לא תהיה מחובר תצטרך להתחבר מחדש, אין מה לעשות זה נובע כדי לחסום שינויי איי פי מהירים ושיגוע המערכת, זה מונע את האפשרות להציף את המסד על ידי הכנסה יתרה של כתובות איי פי שנשמרות בלוגים ובסיישנים וכו'. הדבר היחידי ששאלתי, זה איך לחסום גישה אם אני נמצא על אותה רשת (כלומר אותו איי פי), ואני מצליח לזייף את ה USER AGENT של משתמש אחר ומכאן גם את העוגייה שלו, אילו גורמים אפשר עוד לאבטח? זה כל מה ששאלתי. נ.ב זה לא מערכת רגילה, אלא מערכת מאובטחת, בלי שום קשר לSSL ולדברים אחרים שיהיו קיימים, אני חייב שהמערכת תהיה מאובטחת בקטע אחר, כלומר שמבחינתי מקסימום זמן התחברות הן 15 דקות ללא פעילות. Last edited by MAORBARI; 03-12-14 at 19:09.. |
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|