המצאתי שיטה חדשה לאבטחה, כמה אתם אומרים שהיא שווה? - עמוד 2 - הוסטס

HagaiA · 18-10-09, 16:56

ציטוט:

נכתב במקור על ידי Baku

מצחיקול.
אין יותר מידי צורך לאבטח מידע בקוקיז - מהסיבה הפשוטה שכל המידע נבדק ע"י השרת גם ככה, שומרים שם רק מידע שגם ככה לא אכפת לך לתת.

לגבי ה"ידע שלך" - אתה מאבטח מידע[חחחח!], אני ממש בטוח שאתה יודע, ואנ י גם בטוח שאתה עוסק בזה בשעות הפנאי במחקרים באוניברסיטה.

בקיצור - אין סיבה שמישהו יקנה, בטח לא כשאין לך אסמכתות מקצועיות[אם אתה שומר את הקוד לעצמך איך ידעו שאתה לא מבלף?], ובטח לא כשאתה קורא לעצמך סלקטור כלומר שומר כלומר מאבטח מידע.

מי שמעוניין לקנות את המערכת הזאת אני ישים לו אותה וככה הוא יראה שאני לא מבלף ומן הסתם יש לי קורות חיים, לקוחות ועשרות אנשים שמכירים אותי שיעידו עלי.
ד"א: ההודעה שלך הייתה די ילדותית בן כמה אתה?

~~Skfir~~ · 18-10-09, 17:25

אם היית ממציא שיטת אבטחה חדשה לא הייתי בפורום הזה.

**דניאל** · 18-10-09, 18:22

אני לא חושב שיש סיבה כלשהיא לזלזל בך,
מצד שני.. דברים שנאמרו כאן הם דיי נכונים - אתה מבקש שנעריך עבורך משהו.. שגם אתה לא יודע עד כמה הוא תקף.

פיתחת מוצר שמיועד לתת הגנה משופרת:
1. האם בוצעה בדיקת חדירות למוצר ע"י מומחים בנושא?
2. למי מיועד המוצר? עד כמה הוא קל להתמעה?
3. בראשי פרקים - מהי השיטה? הרי אתה מעוניין למכור אותה לאנשים.. אף אחד לא יקנה חתול בשק - אתה היית קונה?

intercooler3819 · 18-10-09, 19:31

ממ הבעיה הזאת כבר נפתרה...
כבר שנים שמערכות גדולות משתמשים ב token authentication
http://www.w3.org/2001/sw/Europe/eve...uthentication/

זאת דוגמא קלאסית מה שיש בלינק במיוחד הפסקה
The general concept behind a token-based authentication system is simple. Allow users to enter their username and password in order to obtain a token which allows them to fetch a specific resource - without using their username and password. Once their to ken has been obtained, the user can offer the token - which offers access to a specific resource for a time period - to the remote site. Using some form of authentication: a header, GET or POST request, or a cookie of some kind, the site can then determin e what level of access the request in question should be afforded.
The type of changes this type of authentication requires is obviously dependent on the current implementation of your site. Example code I might be able to write in Perl or PHP would not only be language and implementation specific, it would also be appli cation specific. However, some general principles should be considered in both the creation of a process to obtain tokens and the process of using them. Simplicity for users, robustness for interoperability, and protection of user data are all important f or your application, and each can fall by the wayside in attempting to design a system which fits user expectations.

AlmogBaku · 18-10-09, 20:26

אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה.

אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת.
ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות].

בקיצור אל תעשה מעצמך צחוק.
וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

Slash · 18-10-09, 21:22

מידע שרוצים לשמור לא שמים על קבצי עוגיות .

HagaiA · 18-10-09, 21:53

ציטוט:

נכתב במקור על ידי Baku

בקיצור אל תעשה מעצמך צחוק.
וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

אני לא עושה מעצמי צחוק ואני שמח לקבל ביקורות בונות ממכם
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם,
עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי,
חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך,
בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא..

nitsanbn:
אני לא מדבר על התחברות לפאנל אדמין.

TelecarT:
1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.
2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו.
3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID,
בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים,
השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,
חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות.

שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות

Inet · 18-10-09, 22:14

ציטוט:

נכתב במקור על ידי Keyboard_C

אני לא עושה מעצמי צחוק ואני שמח לקבל ביקורות בונות ממכם
לא אמרתי שאני גאון אבל אני מאבטח מידע ויש לי המון ידע בתחום, יש לי עסק בשם PHPSEC עם כמה לקוחות עם מערכות בסביבות WEB שאיבטחתי להם,
עוד עשרות אקס-לקוחות(אלה שהאתר שלהם כבר לא קיים),שותפים עסקיים וקולגות שלי שיעידו עלי,
חוץ מזה תכתוב חגי אבישר או Keyboard_Criminal בגוגל ותראה את התוצאות שינתנו לך,
בכל זאת קיבלת רושם מוטעה כנראה ולכן נתתי לך את ההסבר הזה אבל לא על זה הנושא..

nitsanbn:
אני לא מדבר על התחברות לפאנל אדמין.

TelecarT:
1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.
2.הוא מיועד לכל אתר שחושש שיפרצו למשתמשים שלו.
3.כמו שאמרתי השיטה בעיקרון היא שאי אפשר לערוך עוגיות של פרטי הזדהות כמו PASS או ID,
בנוסף השיטה חוסמת אפשרות להתחברות למשתמש משני מחשבים שונים,
השיטה מתבססת על שמירת 2 נתונים חשובים במסד שאחד מהם הוא האייפי ובדיקתם בעת כל פעולה,
חוץ מזה זה לא "חתול בשק" כשמוכיחים שאי אפשר לעשות קוקיז ואחרי כל אבטחה שאני עושה למערכת אני מוכיח שהמערכת אכן מאובטחת גם כדי להראות אמינות וגם כדי לבדוק שלא עשיתי טעויות.

שוב תודה על הביקורות הבונות ואשמח לענות על שאלות נוספות

מה שתיארת פה גורם לאיבוד המשמעות של הקוקיז, כל הרעיון מאחורי העוגיה היא שהמידע נשמר אצל המחשב של המשתמש גם אם הוא עשה ריסט וכו' אתה תדע את הפרטים.

אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE.

הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית.

HagaiA · 18-10-09, 22:28

ציטוט:

נכתב במקור על ידי Inet

מה שתיארת פה גורם לאיבוד המשמעות של הקוקיז, כל הרעיון מאחורי העוגיה היא שהמידע נשמר אצל המחשב של המשתמש גם אם הוא עשה ריסט וכו' אתה תדע את הפרטים.

אם אתה רוצה לשמור את המידע עבור IP מסוים - פשוט תשמור במקום COOCKIE ב DB, טבלה פשוטה של IP-NAME-VALUE.

הבהרה: ריסט למחשב (למי שאין נתב) או ריסט לנתב, הפסקת חשמל וכו' שגורמת להתחברות מחדש לאינטרנט גורמת לקבלת IP חדש מהספקית.

בגלל שזה מורכב אם אני יסביר את הפירוט המלא גם אנשים יוכלו להכין את זה, בעיקרון לא הורדתי מהמשמעות של הקוקיז אלא הוספתי לה כמו "שומר ראש" שבודק מי משנה בה ערכים.

**דניאל** · 18-10-09, 22:47

ציטוט:

נכתב במקור על ידי Keyboard_C

1.הבדיקה נעשתה על ידי, יש לי כמה שנות ניסיון בתחום ואני בתחום שלי אני מבצע ללקוחות בדיקות חדירות כמו זו או אחרת.

לא קצת יהיר מצדך?

18-10-09, 18:22	# 13
דניאל מנהל ראשי מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 40 הודעות: 6,503	אני לא חושב שיש סיבה כלשהיא לזלזל בך, מצד שני.. דברים שנאמרו כאן הם דיי נכונים - אתה מבקש שנעריך עבורך משהו.. שגם אתה לא יודע עד כמה הוא תקף. פיתחת מוצר שמיועד לתת הגנה משופרת: 1. האם בוצעה בדיקת חדירות למוצר ע"י מומחים בנושא? 2. למי מיועד המוצר? עד כמה הוא קל להתמעה? 3. בראשי פרקים - מהי השיטה? הרי אתה מעוניין למכור אותה לאנשים.. אף אחד לא יקנה חתול בשק - אתה היית קונה? __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977

18-10-09, 19:31	# 14
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	ממ הבעיה הזאת כבר נפתרה... כבר שנים שמערכות גדולות משתמשים ב token authentication http://www.w3.org/2001/sw/Europe/eve...uthentication/ זאת דוגמא קלאסית מה שיש בלינק במיוחד הפסקה The general concept behind a token-based authentication system is simple. Allow users to enter their username and password in order to obtain a token which allows them to fetch a specific resource - without using their username and password. Once their to ken has been obtained, the user can offer the token - which offers access to a specific resource for a time period - to the remote site. Using some form of authentication: a header, GET or POST request, or a cookie of some kind, the site can then determin e what level of access the request in question should be afforded. The type of changes this type of authentication requires is obviously dependent on the current implementation of your site. Example code I might be able to write in Perl or PHP would not only be language and implementation specific, it would also be appli cation specific. However, some general principles should be considered in both the creation of a process to obtain tokens and the process of using them. Simplicity for users, robustness for interoperability, and protection of user data are all important f or your application, and each can fall by the wayside in attempting to design a system which fits user expectations. __________________

18-10-09, 21:22	# 16
Slash חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 522	מידע שרוצים לשמור לא שמים על קבצי עוגיות . __________________ Aziza Web Magazine Always account for variable change


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-10-09, 17:25	# 12
~~Skfir~~ חסום מיני פרופיל תאריך הצטרפות: May 2009 מיקום: הוד השרון גיל: 33 הודעות: 552	אם היית ממציא שיטת אבטחה חדשה לא הייתי בפורום הזה.

18-10-09, 20:26	# 15
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	אל תקח את זה אישית. פשוט זה מגוכך שאתה מגדיר את עצמך כאיש מקצוע בתחום שלא קיים ומתיימר להיות אדם שעוסק באבטחת מידע שאפילו אתה לא יודע מה זה. אבטחת מידע, ולצורך העיניין חברות שעוסקות בזה- לא עוסקות בכיצד לכתוב קוד תקין או להשתמש בהברחה נכונה[פחות קריטי] אלא בשיטות לשלוח פקטות או מידע אחר בצורה מאובטחת. ולא- לא מדובר בשימוש נכון בשפה, את זה כל זוטר יודע[בתיאוריה לפחות]- אלא מדובר במחקרים של מתמטיקאים, ואלגוריתמים מסובכים[למשל פעולות אטומיות]. בקיצור אל תעשה מעצמך צחוק. וכן-יש סיכויי שאתה גאון והתגובה שלי פשוט קלעה לא נכון, אבל מצד שני- אני עושה אחד ועוד אחד רואה בן כמה אתה רואה איך אתה מגדיר את עצמך ורואה את שאר המידע עלייך ומבין עם מי אני מדבר.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)