הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
02-04-06, 19:53 | # 51 |
кто ты?
|
לא מובן לי את הקטע שהמשתמש מקיש סיסמה.
אחרי אם הוא מסמן "זכור אותי" זה שומר רק ID ומס' רמדומלי קבוע למשתמש אז אם איפה בידיוק הוקשה הסיסמה? |
02-04-06, 19:56 | # 52 |
חבר וותיק
|
אלעד, אם הוא לא מסמן 'זכור אותי' מה קורה?
|
02-04-06, 19:59 | # 53 | |
кто ты?
|
ציטוט:
|
|
02-04-06, 19:59 | # 54 | |
A Al Alm Almo Almog!
תודה על תרומתך! |
ציטוט:
או יכול להיות שרק קוקיז שיש בו ערך שמאשר. |
|
02-04-06, 20:30 | # 55 | |
Permanently Banned
|
ציטוט:
סורי אלעד, אבל ממה שהסברת בנתיים, זה חסר כל יתרון. |
|
02-04-06, 20:36 | # 56 |
מתאורר / יצא בחוץ
|
לא חסר כל יתרון
אבל יש לזה כמה חסרונות כמו לכל השיטות אחרי מה שהבנתי, אני עדיין לא מחליף שיטה אולי מחר כשהוא יסביר לי יותר |
02-04-06, 21:29 | # 57 |
חבר וותיק
|
אבל מדוע צריך סיסמא לפי השיטה הזאת?
|
02-04-06, 22:13 | # 58 | |
חבר בקהילה
|
כמו ש Eye-Soft אמר.
ציטוט:
בעצם במחשבה שניה (מצחיק שאני חושב תוך כדי כתיבה, אבל ככה יצא), נניח שמגבילים פעולות מסויימות, כמו החלפת סיסמא ומחיקת משתמש בכך שצריך להזין עוד פעם את הסיסמא. ואז במידה ומישהו פורץ חשבון, הוא יכול קצת להרוס, אבל לא למחוק לגמרי, ואז כאשר המשתמש המקורי יגלה שפרצו לו, רק הוא יוכל להחליף סיסמא (כי רק הוא יודע תסיסמא המקורית). וכנראה שאנחנו המתכנתים ממש נואשים למצוא דרכים בטוחות לבנות אתר. מתי נמצא דרך בטוחה יותר? |
|
03-04-06, 14:41 | # 59 | |
Fatal Error
|
קודם כל, נפלה טעות הקלדה קטנה. אין שום צורך בהקדלת הסיסמא מחדש. לא צריך להרוג בנאדם בשביל זה
סה"כ מה שאני שומר בעוגייה זה שני דברים: ID של משתמש קוד רנדומאלי שיצרתי לו (כמובן שבעוגייה זה מוצפן ובמסד זה לא מוצפן) בכל התחברות מחדש (אחרי התנתקות יזומה) של המשתמש בפורום שלי, אני מחליף את הקוד הרנדומאלי שיצרתי בקוד רנדומאלי אחר. ציטוט:
קודם כל נקדים ונאמר שנגד XSS אין שום פתרון ואם גנבו את העוגייה אז המצב קשה וצריך לבדוק איך בדיוק תוכנת האתר. למה זה יותר מאובטח? אתה תשים סיסמא מוצפנת בעוגייה. אני אגנוב לך את העוגייה ואז אני יכול לפענח בקלות את הסיסמא של המשתמש (אני לא צריך לדעת את הסיסמא המקורית, מספיק שאני מחפש ביטוי באינטרנט שמחזיר לי את אותו פלט md5) ואז החלק החשבון משתמש פייפל. בשיטה שלי במידה ונגנבה העוגייה, המשתמש סה"כ צריך להתנתק מהחשבון שלו ולהתחבר מחדש ובכל נוצר לו קוד רנדומאלי חדיש חדש והעוגייה שבידי הגנב לא שמישה עוד.
__________________
eLad |
|
03-04-06, 14:43 | # 60 |
חבר וותיק
|
לא הבנתי איפה הסיסמא נכנסת בכל העניין..
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|