קוקיז או סשן? מה עדיף? - עמוד 6 - הוסטס

null · 02-04-06, 19:53

לא מובן לי את הקטע שהמשתמש מקיש סיסמה.
אחרי אם הוא מסמן "זכור אותי" זה שומר רק ID ומס' רמדומלי קבוע למשתמש
אז אם איפה בידיוק הוקשה הסיסמה?

miniature · 02-04-06, 19:56

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

null · 02-04-06, 19:59

ציטוט:

נכתב במקור על ידי miniature

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

לא נוצר קוקי?

somebody · 02-04-06, 19:59

ציטוט:

נכתב במקור על ידי miniature

אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?

אז לא מושתל קוקיז על המחשב ורק מופעל SESSION עם הקוד הרנדומלי+ה ID.
או יכול להיות שרק קוקיז שיש בו ערך שמאשר.

~~Eye-Soft~~ · 02-04-06, 20:30

ציטוט:

נכתב במקור על ידי somebody

דווקא מאוד מובן מה שהוא אמר(אלעד).

הוא יוצר חוץ מהסיסמא קוד רנדומלי שהמשתמש לא יודע אותו לכל גמשתמש ומשתמש הוא יוצר קוד כזה בהרשמה.
הוא כל פעם שמשהו נירשם בודק אם קיים כבר כזה קוד אז הוא יוצר קוד חדשה.

יש לו בטבלה של המשתמשים במסד את כל הפרטים הרגילים ועוד עמודה לדוגמא בשם CODE ובה הוא מזין את הקוד שנוצר.
לעוגיה הוא מוריד את ID המשתמש+הקוד הרנדומלי ואז הוא מבצע בדיוק מה שכולם מבצעים רק עם הקוד הרנדומלי שהוא לא הסיסמא.
ככה שאם נגיד גנבו עוגיה למשהו אז אם ישימו את הקוד הרנדומלי בסיסמא אז זה לא יהיה נכון.

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

~~HighA~~ · 02-04-06, 20:36

לא חסר כל יתרון
אבל יש לזה כמה חסרונות כמו לכל השיטות
אחרי מה שהבנתי, אני עדיין לא מחליף שיטה
אולי מחר כשהוא יסביר לי יותר

miniature · 02-04-06, 21:29

אבל מדוע צריך סיסמא לפי השיטה הזאת?

Balrog · 02-04-06, 22:13

ציטוט:

נכתב במקור על ידי Eye-Soft

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

אני כרגע לא רואה ייתרון באבטחה (מלבד שלא יוכלו לשחזר את הסיסמא של מישהו במידה והיא מתאימה לעוד מקומות) - ניתן באמת להעתיק את התוכן של העוגיה למחשב שלי, והאתר יחשוב שאני מחובר כבר.

בעצם במחשבה שניה (מצחיק שאני חושב תוך כדי כתיבה, אבל ככה יצא), נניח שמגבילים פעולות מסויימות, כמו החלפת סיסמא ומחיקת משתמש בכך שצריך להזין עוד פעם את הסיסמא. ואז במידה ומישהו פורץ חשבון, הוא יכול קצת להרוס, אבל לא למחוק לגמרי, ואז כאשר המשתמש המקורי יגלה שפרצו לו, רק הוא יוכל להחליף סיסמא (כי רק הוא יודע תסיסמא המקורית).

וכנראה שאנחנו המתכנתים ממש נואשים למצוא דרכים בטוחות לבנות אתר. מתי נמצא דרך בטוחה יותר?

eLad · 03-04-06, 14:41

קודם כל, נפלה טעות הקלדה קטנה. אין שום צורך בהקדלת הסיסמא מחדש. לא צריך להרוג בנאדם בשביל זה

סה"כ מה שאני שומר בעוגייה זה שני דברים:
ID של משתמש
קוד רנדומאלי שיצרתי לו (כמובן שבעוגייה זה מוצפן ובמסד זה לא מוצפן)

בכל התחברות מחדש (אחרי התנתקות יזומה) של המשתמש בפורום שלי, אני מחליף את הקוד הרנדומאלי שיצרתי בקוד רנדומאלי אחר.

ציטוט:

וזה מאובטח בדיוק כמו לשים סיסמא. אני מעתיק את הCOOKIE הזה ושם אותו אצלי והופה. בדיוק כמו סיסמא, רק שליצור את הקוד הזה ולבדוק האם הוא לא חוזר שוב אצל שום משתמש (ונגיד ויש 400 אלף משתמשים) זה רע.

סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון.

ממש לא! זה הרבה יותר מאובטח מהשמת סיסמא בעוגייה!

קודם כל נקדים ונאמר שנגד XSS אין שום פתרון ואם גנבו את העוגייה אז המצב קשה וצריך לבדוק איך בדיוק תוכנת האתר.

למה זה יותר מאובטח? אתה תשים סיסמא מוצפנת בעוגייה. אני אגנוב לך את העוגייה ואז אני יכול לפענח בקלות את הסיסמא של המשתמש (אני לא צריך לדעת את הסיסמא המקורית, מספיק שאני מחפש ביטוי באינטרנט שמחזיר לי את אותו פלט md5) ואז החלק החשבון משתמש פייפל.

בשיטה שלי במידה ונגנבה העוגייה, המשתמש סה"כ צריך להתנתק מהחשבון שלו ולהתחבר מחדש ובכל נוצר לו קוד רנדומאלי חדיש חדש והעוגייה שבידי הגנב לא שמישה עוד.

miniature · 03-04-06, 14:43

לא הבנתי איפה הסיסמא נכנסת בכל העניין..

02-04-06, 19:53	# 51
null кто ты? מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,177	לא מובן לי את הקטע שהמשתמש מקיש סיסמה. אחרי אם הוא מסמן "זכור אותי" זה שומר רק ID ומס' רמדומלי קבוע למשתמש אז אם איפה בידיוק הוקשה הסיסמה? __________________ Manual.co.il בניית אתרים היפוך טקסט

02-04-06, 19:56	# 52
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה? __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית

02-04-06, 21:29	# 57
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	אבל מדוע צריך סיסמא לפי השיטה הזאת? __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית

03-04-06, 14:43	# 60
miniature חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,754	לא הבנתי איפה הסיסמא נכנסת בכל העניין.. __________________ יואב. דרכים ליצירת קשר: אימייל: thebigfire@walla.co.il הודעה פרטית


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

02-04-06, 20:36	# 56
~~HighA~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Nov 2005 גיל: 32 הודעות: 833	לא חסר כל יתרון אבל יש לזה כמה חסרונות כמו לכל השיטות אחרי מה שהבנתי, אני עדיין לא מחליף שיטה אולי מחר כשהוא יסביר לי יותר

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)