התחברות לאתר? - עמוד 2 - הוסטס

trupix · 28-10-11, 13:33

על פי כך אשתמש בקוקיז.

קוד:

set_cookie("cookie_login","admin");

האם הסינטקס נכון? כיצד ניתן לאבטח אותו ככל האפשר? כי לפחות בתיאוריה, ניתן בקלות 'להערים' על המערכת תוך כדי יצירת עוגייה זהה עם המשתמש שאבחר

תודה חברה.

Erez | TrustMedia.co.il · 28-10-11, 15:28

ציטוט:

נכתב במקור על ידי trupix

על פי כך אשתמש בקוקיז.

קוד:

set_cookie("cookie_login","admin");

האם הסינטקס נכון? כיצד ניתן לאבטח אותו ככל האפשר? כי לפחות בתיאוריה, ניתן בקלות 'להערים' על המערכת תוך כדי יצירת עוגייה זהה עם המשתמש שאבחר

תודה חברה.

בעוגייה תשמור את הmd5 של הסיסמא, או איזה מזהה ייחודי של ההתחברות.
בקיצור משהו שלא יהיה אפשר לגלות בקלות ולשנות את העוגיה ולפרוץ למשתמש

Haimz · 28-10-11, 17:32

כדי להתחיל SESSION אתה רושם

PHP קוד:


			
session_start();

מטעמי אבטחה, תעשה ככה:

PHP קוד:


			
session_start();
ini_set ( "session.cookie_httponly" , true );

אסור שיהיה HTML לפני תחילת הקוד (זה כולל גם רווחים וכל דבר קטן שמודפס למסך)

כדי להכניס סשן אתה עושה

PHP קוד:


			
$_SESSION['name'] = 'value';

כמו ששמת לב המשתנה $_SESSION הוא מערך, ודרכו את גם קורא פרטים, בהצלחה

שים לב שסשן לא ישמר אחרי יציאה מהדפדפן \ כיבוי המחשב, אם אתה רוצה לזכור פרטים, תוכל להשתמש בעוגיות (עם הצפנה לכל ערך)
או לשמור אייפי במסד ולפי זה לפעול

BuildDream · 29-10-11, 13:07

למה להכניס את הדומיין שממנו בוצעה ההתחברות לתוך העוגיה?
זה לא שאם נכנסת לGoogle ונוצרה שם עוגיה עם אותו שם היא תקלט גם באתר שלך.
אני לא מצליח להבין איזה סיבה יש לך להכניס את שם הדומיין, אשמח אם תסביר לי.

daNN · 29-10-11, 15:24

ציטוט:

נכתב במקור על ידי almog12

למה להכניס את הדומיין שממנו בוצעה ההתחברות לתוך העוגיה?
זה לא שאם נכנסת לGoogle ונוצרה שם עוגיה עם אותו שם היא תקלט גם באתר שלך.
אני לא מצליח להבין איזה סיבה יש לך להכניס את שם הדומיין, אשמח אם תסביר לי.

אין שום סיבה לשמור את הדומיין.
העוגייה אמורה להכיל שם משתמש וסיסמא מוצפנת בלבד במקרה של שימוש
באופציה "זכור אותי".
זהו.

link · 29-10-11, 19:45

סתם פרמטר שעלה לי בראש בשביל הדוגמא לא משהו מיוחד.

BuildDream · 31-10-11, 11:45

ציטוט:

נכתב במקור על ידי daNN

אין שום סיבה לשמור את הדומיין.
העוגייה אמורה להכיל שם משתמש וסיסמא מוצפנת בלבד במקרה של שימוש
באופציה "זכור אותי".
זהו.

אני מודע לזה, בגלל זה שאלתי אותו מה הסיבה שהוא רוצה לעשות את זה.

אני אישית כשאני בונה עוגיה להתחברות אני מכניס את הID הייחודי של המשתמש ואת הסיסמא שלו מוצפנת בצירוף קוד רנדומלי (כדי למנוע את האפשרות המזערית של MD5 Cracker) ולדעתי זאת שיטה מעולה.

אדיר · 30-10-11, 08:06

בואו נעשה סדר בעניין יש כאן הרבה אנשים שחושבים שהם משחקים בינגו וזורקים תשובות בתקווה שאולי אחת מהן תהיה נכונה.

המידע הנשמר ב- "סיישן", שמור בעצם בקובץ על השרת שלצורך הדוגמה קוראים לו: sess_1234abcd5678,
ה- sess הינו prefix קבוע לכל קבצי הסיישן על השרת שנועד כדי להגדיר שמדובר בקובץ סיישן,
ה- 1234abcd5678 הינו המזהה הייחודי של הסיישן,
אצל המשתמש תשמר עוגיה בשם כלשהו לדוג' PHPSESSID כאשר הערך שלה הוא המזהה הייחודי של הסיישן, כאמור - 1234abcd1234.

כאשר קיימת הצלבה בין המזהה בעוגיה לשם של קובץ סייישן על השרת - דייהנו מדובר בסיישן של אותו משתמש והמידע שייך אליו.

ל- "זיוף" סיישן יש 2 דרכים עיקריות -
הראשונה היא Session Hijacking, השנייה היא Session Fixation.

בראשונה אנחנו צריכים לאתר את המזהה הקיים של משתמש כלשהו -
כאשר איתרנו אותו, אנחנו מכניסים אותו אצלנו בעוגיה, משמע משנים את המזהה שלנו למזהה שלו,
עכשיו השרת יזהה אותנו כבעלי הסיישן הזה ונוכל לגשת למידע באותו סיישן.

בשנייה אנחנו צריכים לקבוע למשתמש כלשהו מזהה ידוע מראש,
כאשר קבענו לו את אותו מזהה, נשאר לנו רק לחכות שהוא יבצע איתו את הפעולה הרצויה (התחברות לאתר לדוג'),
עכשיו נקבע את אותו מזהה גם לעצמנו - אסטה לה ויסטה.

גישה ישירה לקובץ הסיישן אין לנו, ז"א לא נוכל לקרוא ממנו ישירות את הפרטים (במצב אופטימלי כמובן, כאשר השרת והאפליקציה מאובטחים),
אבל למעשה אנחנו גם לא צריכים, כי אם לדוג' שמורים בסיישן שם המשתמש והסיסמא -
השרת פשוט יזהה אותנו כאותו משתמש ויתחבר אליו, הגענו לאותה מטרה.

ועכשיו בוא נחזור לנושא ואני אומר שוב -
פשוט תלמד להשתמש בעוגיות, סוף.

daNN · 30-10-11, 08:43

ואיך זה נוגד את הדברים שאמרתי?
הדרך הכי נכונה היא הדרך שציינתי בהודעה הראשונה שלי.
שהיא שימוש גם בSession וגם בעוגיות ביחד! זאת הכוונה שלהם!
הם לא נוגדים אחד את השני אלא אמורים לעבוד ביחד.

ציטוט:

- תיצור כפתור CheckBox של "זכור אותי" לדעת אם לשמור את העוגייה במחשב (אולי המשתמש לא משתמש הרגע במחשב שלו?)
- בדוק עם המסד נתונים אם המשתמש קיים והסיסמא תקינה במקרה אם כן המשך הלאה.
- תגדיר Session במקרה שלא השתמש באופציה "זכור אותי"
- במקרה שכן השתמש באופציה "זכור אותי" תגדיר עוגייה
- בנוסף את הסיסמא תדאג להצפין באחת מההצפנות המוצעות בPHP לדוגמא: md5, sha1, crc32 (מקווה שהבנת שגם הסיסמא במסד נתונים צריכה להיות מוצפנת).

trupix · 31-10-11, 03:17

לא יצא לי להודות לכם

תודה רבה לכולם!

28-10-11, 13:33	# 1
trupix חבר מתקדם מיני פרופיל תאריך הצטרפות: Sep 2009 גיל: 34 הודעות: 391	על פי כך אשתמש בקוקיז. קוד: set_cookie("cookie_login","admin"); האם הסינטקס נכון? כיצד ניתן לאבטח אותו ככל האפשר? כי לפחות בתיאוריה, ניתן בקלות 'להערים' על המערכת תוך כדי יצירת עוגייה זהה עם המשתמש שאבחר תודה חברה.

28-10-11, 17:32	# 3
Haimz חבר וותיק מיני פרופיל תאריך הצטרפות: Sep 2010 הודעות: 1,221	כדי להתחיל SESSION אתה רושם PHP קוד: `session_start();` מטעמי אבטחה, תעשה ככה: PHP קוד: `session_start(); ini_set ( "session.cookie_httponly" , true );` אסור שיהיה HTML לפני תחילת הקוד (זה כולל גם רווחים וכל דבר קטן שמודפס למסך) כדי להכניס סשן אתה עושה PHP קוד: `$_SESSION['name'] = 'value';` כמו ששמת לב המשתנה $_SESSION הוא מערך, ודרכו את גם קורא פרטים, בהצלחה שים לב שסשן לא ישמר אחרי יציאה מהדפדפן \ כיבוי המחשב, אם אתה רוצה לזכור פרטים, תוכל להשתמש בעוגיות (עם הצפנה לכל ערך) או לשמור אייפי במסד ולפי זה לפעול Last edited by Haimz; 28-10-11 at 17:34..

29-10-11, 13:07	# 4
BuildDream עסק רשום [?] מיני פרופיל תאריך הצטרפות: Oct 2010 הודעות: 527	למה להכניס את הדומיין שממנו בוצעה ההתחברות לתוך העוגיה? זה לא שאם נכנסת לGoogle ונוצרה שם עוגיה עם אותו שם היא תקלט גם באתר שלך. אני לא מצליח להבין איזה סיבה יש לך להכניס את שם הדומיין, אשמח אם תסביר לי. __________________ BuildDream בניית אתרי אינטרנט לשירותך. עסק רשום במס הכנסה ומספק קבלות כחוק. www.BuildDream.co.il - www.iBuild.co.il

30-10-11, 08:06	# 8
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	בואו נעשה סדר בעניין יש כאן הרבה אנשים שחושבים שהם משחקים בינגו וזורקים תשובות בתקווה שאולי אחת מהן תהיה נכונה. המידע הנשמר ב- "סיישן", שמור בעצם בקובץ על השרת שלצורך הדוגמה קוראים לו: sess_1234abcd5678, ה- sess הינו prefix קבוע לכל קבצי הסיישן על השרת שנועד כדי להגדיר שמדובר בקובץ סיישן, ה- 1234abcd5678 הינו המזהה הייחודי של הסיישן, אצל המשתמש תשמר עוגיה בשם כלשהו לדוג' PHPSESSID כאשר הערך שלה הוא המזהה הייחודי של הסיישן, כאמור - 1234abcd1234. כאשר קיימת הצלבה בין המזהה בעוגיה לשם של קובץ סייישן על השרת - דייהנו מדובר בסיישן של אותו משתמש והמידע שייך אליו. ל- "זיוף" סיישן יש 2 דרכים עיקריות - הראשונה היא Session Hijacking, השנייה היא Session Fixation. בראשונה אנחנו צריכים לאתר את המזהה הקיים של משתמש כלשהו - כאשר איתרנו אותו, אנחנו מכניסים אותו אצלנו בעוגיה, משמע משנים את המזהה שלנו למזהה שלו, עכשיו השרת יזהה אותנו כבעלי הסיישן הזה ונוכל לגשת למידע באותו סיישן. בשנייה אנחנו צריכים לקבוע למשתמש כלשהו מזהה ידוע מראש, כאשר קבענו לו את אותו מזהה, נשאר לנו רק לחכות שהוא יבצע איתו את הפעולה הרצויה (התחברות לאתר לדוג'), עכשיו נקבע את אותו מזהה גם לעצמנו - אסטה לה ויסטה. גישה ישירה לקובץ הסיישן אין לנו, ז"א לא נוכל לקרוא ממנו ישירות את הפרטים (במצב אופטימלי כמובן, כאשר השרת והאפליקציה מאובטחים), אבל למעשה אנחנו גם לא צריכים, כי אם לדוג' שמורים בסיישן שם המשתמש והסיסמא - השרת פשוט יזהה אותנו כאותו משתמש ויתחבר אליו, הגענו לאותה מטרה. ועכשיו בוא נחזור לנושא ואני אומר שוב - פשוט תלמד להשתמש בעוגיות, סוף. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

29-10-11, 19:45	# 6
link חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 36 הודעות: 191	סתם פרמטר שעלה לי בראש בשביל הדוגמא לא משהו מיוחד.

31-10-11, 03:17	# 10
trupix חבר מתקדם מיני פרופיל תאריך הצטרפות: Sep 2009 גיל: 34 הודעות: 391	לא יצא לי להודות לכם תודה רבה לכולם!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)