אבטחת עוגיות - הוסטס

SmsBanner.net · 23-06-07, 16:04

שלום,
מה הדרך הבטוחה והיעילה ביותר לאמת נתוני משתמש (או שאולי נכון יותר לומר לאבטח עוגיות?..)?

אני רוצה שמשתמש שמתחבר לאתר שלי, יוכל לחזור לאתר לאחר זמן מה והמערכת תזהה אותו למרות שיצא ממנו כבר.
האם כדאי להשתמש בעוגיות? אולי ב SESSIONS? אולי לשלב?

אשמח לקרוא את דעתכם בנושא.
בנוסף אשמח לקבל קישורים למקורות מידע בנושא.

תודה,
איגור

חיים · 23-06-07, 16:19

עוגיות במקרה הזה זה הדבר הכי טוב כי סשנים נמחקים אחרי היציאה מהעמוד אבל העוגיות נשארות על שהמשתמש לא מוחק אותם ז"א שזה הכי בטוח בישבילך כרגע אתה יכול להשתמש גם באייפי כאילו לשמור אותו אצלך אם בא לך

SmsBanner.net · 23-06-07, 16:35

ציטוט:

נכתב במקור על ידי masterpl

עוגיות במקרה הזה זה הדבר הכי טוב כי סשנים נמחקים אחרי היציאה מהעמוד אבל העוגיות נשארות על שהמשתמש לא מוחק אותם ז"א שזה הכי בטוח בישבילך כרגע אתה יכול להשתמש גם באייפי כאילו לשמור אותו אצלך אם בא לך

תודה חיים,

השאלה היא איך לבצע את זה בצורה כזו שהעוגיה תהיה מאובטחת ושהסיכוי לגנוב אותה יהיה כמה שיותר נמוך?

**Daniel** · 23-06-07, 16:38

לוח בקרה של משהו שקשור בכסף?
סשנס, בלי שום היסוס.

סשנס שנשמרים למקסימום שעתיים + IP = מצויין.

במקרה שזה לא קשור למשהו -ממש- רציני, תשתמש בקוקיס עם ID + הסיסמה המוצפנת בהצפנה חד צדדית + מספר התחברות.
אם אתה ממש רוצה, אתה מוזמן להצפין את זה 4 פעמים ב-MD5, במקום רק פעם אחת, וכך לבדוק WHERE id = 'Cookie ID', ולבדוק האם ה-md5(md5(md5($row['pass))) שווה לקוקיס password.

למרות שאולי זה יאריך את הטעינה של הדף במאית שניה.

ז"א, שברגע שהוא מתחבר, נוספת שורה למסד עם ID, סיסמה, ו-IP, וכמובן-מספר רנדומלי, שנקרא לו "מספר התחברות".

כל פעם זה משווה את הכל, זה דמוי סשן.

mlnn · 23-06-07, 16:46

אם אתה לא רוצה שיגנבו למשתמשים שלך עוגיות, אל תשאיר מקום לXSS.
עריכה:

אני רואה אני לא קשור :P
תשמור בקוקי userName + MD5.

MasterT,
למה לו לשמור מספר התחברויות? או שזה מספר התחברות? [מה זה?]

~~LosNir~~ · 23-06-07, 16:51

אני מצאתי דרך ממש נחמדה:

כל פעם שאתה מתחבר והאפשרות של לזכור מסומנת אז נכנסת למסד שורה, השורה כוללת 4 ערכים:

ID, שם משתמש, סיסמא ו string

ה string זה אותיות רנדומאליות שנוצרות בהתחברות ,את ה string שיצא אתה מכניס לעוגיה.

בהתחברות, אם העוגיה קיימת תשלוף את ה string ותבדוק אם הוא קיים במסד.
אם לא, תציג התחברות.
אם כן, תשלוף את השם משתמש והסיסמא שבמסד ותאמת אותם.

אם הם לא נכונים (מה שרוב הסיכוים שהם כן נכונים) תציג התחברות.
אם הם כן נכונים סיימנו ואתה יכול להרשות למשתמש להכנס לפאנל.

* ה string כולל אותיות גדולות, קטנות, סימנים ומספרים.

SmsBanner.net · 23-06-07, 17:03

ציטוט:

נכתב במקור על ידי LosNir

אני מצאתי דרך ממש נחמדה:

כל פעם שאתה מתחבר והאפשרות של לזכור מסומנת אז נכנסת למסד שורה, השורה כוללת 4 ערכים:

ID, שם משתמש, סיסמא ו string

ה string זה אותיות רנדומאליות שנוצרות בהתחברות ,את ה string שיצא אתה מכניס לעוגיה.

בהתחברות, אם העוגיה קיימת תשלוף את ה string ותבדוק אם הוא קיים במסד.
אם לא, תציג התחברות.
אם כן, תשלוף את השם משתמש והסיסמא שבמסד ותאמת אותם.

אם הם לא נכונים (מה שרוב הסיכוים שהם כן נכונים) תציג התחברות.
אם הם כן נכונים סיימנו ואתה יכול להרשות למשתמש להכנס לפאנל.

* ה string כולל אותיות גדולות, קטנות, סימנים ומספרים.

מה הרעיון מאחורי זה?
תמיד הנתונים יהיו זהים.. תמיד המשתמש יהיה רשאי להכנס...
ולא עשינו בזה כלום..

**Daniel** · 23-06-07, 17:09

דווקא לא....,
זה בערך מה שאני אמרתי.

זה דמוי סשן.

SmsBanner.net · 23-06-07, 17:12

אני אשאל את השאלה שלי אחרת,
איך אתם [בעלי האתרים] מאמתים את פרטי המשתמשים שלכם?

~~LosNir~~ · 23-06-07, 17:13

ציטוט:

נכתב במקור על ידי SmsBanner.net

מה הרעיון מאחורי זה?
תמיד הנתונים יהיו זהים.. תמיד המשתמש יהיה רשאי להכנס...
ולא עשינו בזה כלום..

מה הקשר?

סטרינג רנדאומלי אמרתי.

23-06-07, 16:04	# 1
SmsBanner.net חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 93	אבטחת עוגיות שלום, מה הדרך הבטוחה והיעילה ביותר לאמת נתוני משתמש (או שאולי נכון יותר לומר לאבטח עוגיות?..)? אני רוצה שמשתמש שמתחבר לאתר שלי, יוכל לחזור לאתר לאחר זמן מה והמערכת תזהה אותו למרות שיצא ממנו כבר. האם כדאי להשתמש בעוגיות? אולי ב SESSIONS? אולי לשלב? אשמח לקרוא את דעתכם בנושא. בנוסף אשמח לקבל קישורים למקורות מידע בנושא. תודה, איגור __________________ בברכה, איגור פרנקל אינדקס אתרים - Kapish.co.il

23-06-07, 16:19	# 2
חיים חבר וותיק מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: עפולה גיל: 31 הודעות: 1,548	עוגיות במקרה הזה זה הדבר הכי טוב כי סשנים נמחקים אחרי היציאה מהעמוד אבל העוגיות נשארות על שהמשתמש לא מוחק אותם ז"א שזה הכי בטוח בישבילך כרגע אתה יכול להשתמש גם באייפי כאילו לשמור אותו אצלך אם בא לך __________________ בברכה, חיים.

23-06-07, 16:46	# 5
mlnn משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בחדר של חני גיל: 34 הודעות: 4,417	אם אתה לא רוצה שיגנבו למשתמשים שלך עוגיות, אל תשאיר מקום לXSS. עריכה: אני רואה אני לא קשור :P תשמור בקוקי userName + MD5. MasterT, למה לו לשמור מספר התחברויות? או שזה מספר התחברות? [מה זה?] __________________ . בחורות ערומות Last edited by mlnn; 23-06-07 at 16:51..

23-06-07, 17:12	# 9
SmsBanner.net חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 93	אני אשאל את השאלה שלי אחרת, איך אתם [בעלי האתרים] מאמתים את פרטי המשתמשים שלכם? __________________ בברכה, איגור פרנקל אינדקס אתרים - Kapish.co.il


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

23-06-07, 16:38	# 4
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	לוח בקרה של משהו שקשור בכסף? סשנס, בלי שום היסוס. סשנס שנשמרים למקסימום שעתיים + IP = מצויין. במקרה שזה לא קשור למשהו -ממש- רציני, תשתמש בקוקיס עם ID + הסיסמה המוצפנת בהצפנה חד צדדית + מספר התחברות. אם אתה ממש רוצה, אתה מוזמן להצפין את זה 4 פעמים ב-MD5, במקום רק פעם אחת, וכך לבדוק WHERE id = 'Cookie ID', ולבדוק האם ה-md5(md5(md5($row['pass))) שווה לקוקיס password. למרות שאולי זה יאריך את הטעינה של הדף במאית שניה. ז"א, שברגע שהוא מתחבר, נוספת שורה למסד עם ID, סיסמה, ו-IP, וכמובן-מספר רנדומלי, שנקרא לו "מספר התחברות". כל פעם זה משווה את הכל, זה דמוי סשן.

23-06-07, 16:51	# 6
~~LosNir~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 31 הודעות: 2,686	אני מצאתי דרך ממש נחמדה: כל פעם שאתה מתחבר והאפשרות של לזכור מסומנת אז נכנסת למסד שורה, השורה כוללת 4 ערכים: ID, שם משתמש, סיסמא ו string ה string זה אותיות רנדומאליות שנוצרות בהתחברות ,את ה string שיצא אתה מכניס לעוגיה. בהתחברות, אם העוגיה קיימת תשלוף את ה string ותבדוק אם הוא קיים במסד. אם לא, תציג התחברות. אם כן, תשלוף את השם משתמש והסיסמא שבמסד ותאמת אותם. אם הם לא נכונים (מה שרוב הסיכוים שהם כן נכונים) תציג התחברות. אם הם כן נכונים סיימנו ואתה יכול להרשות למשתמש להכנס לפאנל. * ה string כולל אותיות גדולות, קטנות, סימנים ומספרים.

23-06-07, 17:09	# 8
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	דווקא לא...., זה בערך מה שאני אמרתי. זה דמוי סשן.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)