העמממ :| אבטחת עוגיה? - עמוד 2 - הוסטס

sUP · 28-05-06, 13:33

אז איך מבצעים אבטחה נכונה?

Alon.R · 28-05-06, 13:39

דבר ראשון, עוגייה של סיסמא שתצתרף לעוגיות האחרות.
ובדיקה של השם משתמש אם הוא תואם לסיסמא בעוגיה ולעוגיית הID (במידה ויש כזאת).

בניה · 28-05-06, 14:28

ב"ה

אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.

miniature · 28-05-06, 14:32

ציטוט:

נכתב במקור על ידי בניה

ב"ה

אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.

וכאשר מישהו ינסה להתחבר ממחשב ב' כאשר במחשב א' המשתמש מחובר והעוגיה קיימת, הוא לא יאפשר להתחבר.

בניה · 28-05-06, 14:34

ציטוט:

נכתב במקור על ידי miniature

וכאשר מישהו ינסה להתחבר ממחשב ב' כאשר במחשב א' המשתמש מחובר והעוגיה קיימת, הוא לא יאפשר להתחבר.

ב"ה

לאו דווקא.
אם הפרטים נכונים אז הוא ישתול את אותה עוגיה גם במחשב השני.
רק אם יתנתקו במחשב אחד גם המחשב השני יתנתק אבל זה באמת בכלל לא מזיק.

-VladK- · 28-05-06, 15:36

אהההם אני לא ממש יודע אם זה אפשרי...אבל נגיד והתחברתי עכשיו...יצרתי עוגיות והן נשמרו לי במחשב...אוקיי הכל טוב ויפה עכשיו משהו אכן פרץ לי ולקח תעוגיות...אז מה דעתכם לעשות כך שאם העוגיות במחשב הזה של הנפרץ עדיין קיימות אז אי אפשר להשתמש באלא שנלקחו אבל אם הן לא קיימות אז לא צריך להתחבר...למרות שאם זה שפרץ יעתיק ואז ימחוק הכל אז זו כבר בעיה...

sUP · 28-05-06, 16:20

שוב, אתם לא שמים לב למה שאני אומר,

IP פה לא רלוונטי מכיוון שאם משתמש נכנס ממחשב אחר של דודה שלו או של סבתא שלו או לא יודע מה שהטווח הרי שונה,
וכנ"ל לקודים בעוגיות..

צריך לאפשר "חופש" למשתמש.

עוד שאלה,
איך מונעים הזרקת JS?

sUP · 28-05-06, 17:32

ממ יש משו שלא הבנתי ממש..

ציטוט:

בעת ההרשמה של הגולש יוצרים לו מחרוזת רנדומאלית שאותה אתה שומר בעוגייה מוצפנת עם ה userID או ה userName מוצפנים אף הם.

אם ה USERID או ה USERNAME מוצפנים, איך אני אוכל להשוות אותם למסד נתונים?

eLad · 28-05-06, 17:41

ציטוט:

נכתב במקור על ידי sUP

ממ יש משו שלא הבנתי ממש..

אם ה USERID או ה USERNAME מוצפנים, איך אני אוכל להשוות אותם למסד נתונים?

אתה יכול להצפין את ה userName בזמן ריצה ולהשוות את ההצפנה לזו הקיימת בעוגיה
במידה והם שווים אז מדובר באותו בחור

sUP · 28-05-06, 19:50

אבל להריץ הצפנה לכל המשתמשים זה קצת קצת קצת הזוי

28-05-06, 13:33	# 1
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	אז איך מבצעים אבטחה נכונה? __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

28-05-06, 14:28	# 3
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה. יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים) ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום. __________________ קו ישר, כי אפשר גם אחרת

28-05-06, 16:20	# 7
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	שוב, אתם לא שמים לב למה שאני אומר, IP פה לא רלוונטי מכיוון שאם משתמש נכנס ממחשב אחר של דודה שלו או של סבתא שלו או לא יודע מה שהטווח הרי שונה, וכנ"ל לקודים בעוגיות.. צריך לאפשר "חופש" למשתמש. עוד שאלה, איך מונעים הזרקת JS? __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

28-05-06, 19:50	# 10
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	אבל להריץ הצפנה לכל המשתמשים זה קצת קצת קצת הזוי __________________ לפרטים נוספים dani3l@gmail.com (אימייל)


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

28-05-06, 13:39	# 2
Alon.R הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,435	דבר ראשון, עוגייה של סיסמא שתצתרף לעוגיות האחרות. ובדיקה של השם משתמש אם הוא תואם לסיסמא בעוגיה ולעוגיית הID (במידה ויש כזאת).

28-05-06, 15:36	# 6
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	אהההם אני לא ממש יודע אם זה אפשרי...אבל נגיד והתחברתי עכשיו...יצרתי עוגיות והן נשמרו לי במחשב...אוקיי הכל טוב ויפה עכשיו משהו אכן פרץ לי ולקח תעוגיות...אז מה דעתכם לעשות כך שאם העוגיות במחשב הזה של הנפרץ עדיין קיימות אז אי אפשר להשתמש באלא שנלקחו אבל אם הן לא קיימות אז לא צריך להתחבר...למרות שאם זה שפרץ יעתיק ואז ימחוק הכל אז זו כבר בעיה...

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)