הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
01-04-06, 22:16 | # 11 |
A Al Alm Almo Almog!
תודה על תרומתך! |
בגלל זה אמרתי תלוי בצרכים.
אם אתה צריך שאחרי שהמשתמש סוגר את הדפדפן זה יתנתק תשתמש בSESSION. אם אתה רוצה שיהיה למשתמש נוח והוא יוכל למיד להישאר מחובר תשתמש בקוקיז רק תצפין אותם טוב, כי יש הרבה מאוד דרכים ל"פרוץ" עוגיות. זאת אומרת שאם נגיד את מוריד לעוגיה את ה ID של המשתמש ולא עושה בדיקה בצד שרת כל פעם אם ה ID שווה לסיסמא(שגם אותה אתה צריך להוריד רק מוצפנת) (שווה לסיסמא זאת אומרת שהם באותה שורה במסד), אם לא תעשה את זה אז כל אחד שירצה "לפרוץ" לחשבון אחר שינה לאיזה ID שהוא ירצה והופ נכנס לחשבון של משתמש אחר. ושוב זה תלוי בצרכים. |
02-04-06, 13:52 | # 12 |
חבר וותיק
|
נערך
__________________
צלם אירועים, צילום אירועים, צילום חתונות, צלם, צילום קוריאן , עיצוב , עיצוב מטבחים , דלפקים , שיש , דמוי שיש , חיפוי קירות Last edited by nevo; 02-04-06 at 14:14.. |
02-04-06, 14:09 | # 13 |
הוסטסניון
|
עדיף קוקיז , במיוחד לפורום..
|
02-04-06, 17:02 | # 14 |
מתאורר / יצא בחוץ
|
אני שם קוקי אחד גם ID גם USER וגם PASS ומפריד ומשתמש בexplode
ואת הPASS בMD5 |
02-04-06, 17:09 | # 15 | |
Fatal Error
|
ציטוט:
למה אתה שומר גם user וגם ID במסד? למה בכלל לשמור סיסמא בעוגיה? טעות אבטחה קריטית
__________________
eLad |
|
02-04-06, 17:10 | # 16 | |
הנהלת הפורום לשעבר
|
ציטוט:
להשאיר רק ID ? ואז כל אחד שיודע איך לשנות עוגיה יוכל לפרוץ... אם יש לך שיטה טובה אתה מוזמן לשתף אותנו |
|
02-04-06, 17:12 | # 17 | |
מתאורר / יצא בחוץ
|
ציטוט:
רגע מה זה משנה אם הוא ישנה את הID והUSER שיתאימו למשתמש של האדמין הסיסמא לא תהיה נכונה גם כי הוא לא יודע וגם כי זה MD5 |
|
02-04-06, 17:13 | # 18 | |
הנהלת הפורום לשעבר
|
ציטוט:
ואלעד, אם זה פרצת אבטחה כ"כ גדולה, זה מוזר שכל אתר עם כניסת משתמש אוטומטית (כגון פורום) עושה את זה (כולל זה שאנחנו עכשיו מדברים על גבי דפיו). |
|
02-04-06, 17:18 | # 19 |
מתאורר / יצא בחוץ
|
אני יודע, דווקא במערכת שעכשיו אני עושה (ראו חתימה) אני לא שמרתי ID
אבל בקודמות כן שמרתי, סתם בשביל הכיף :\ |
02-04-06, 17:43 | # 20 | |
Fatal Error
|
ציטוט:
וגם אם עושים את זה אז זו תפיסת אבטחה מוטעית מיסודה ולא ככה עושים את הדברים.. בכלל - סיסמאת משתמש היא אחד הדברים שצריכים להיות שמורים ביותר לאחר ביצוע הרשמה. אין שום טעם לפרסם אותה בעוגיה כדי שכל אחד יוכל לעיין בזה (אפילו אם זה מוצפן ב MD5), ועל אחת כמה וכמה שכל העולם ואישתו משתמשים ב MD5. איך בקלות אני פורץ לכם את האבטחה במקרה הזה? נניח ומדובר במערכת פורומים ובעוגייה נשמרים ה userID וה userPassword (מוצפן ב MD5). לצורך העניין ה userID הוא 6523 וה userPassword זה 32 תווים מסויימים שהנפיק ה md5. אני נרשם לפורום בתור משתמש רגיל, הולך לפרופיל משתמש של יוזר 6523. על ידי כך מצאתי את ה userName שלו. אני הולך לעוגיה שגנבתי, מוציא משם את ה 32 תווים שהנפיק ה MD5, מכניס את ה 32 תווים האלו בגוגל ותוך שניות אני מקבל ביטוי שיכול להרכיב את ההצפנה הזאתי (אתם יודעים שלמשל למילה "שלום" ולביטוי "whats up" ייתכן אותו פלט?). ברגע שקיבלתי את הביטוי שהוצפן (נניח וזה המילה "אלעד") אני הולך לטופס התחברות ומתחבר עם הפרטים שבידיי - היוזר שמצאתי והביטוי שהוצפן מגוגל. היופי בדבר הוא שאני אפילו לא צריך לדעת מה הסיסמא האמיתית של הבחור כי כל הבדיקות שאתם עושים זה פשוט להצפין את המחרוזת שקיבלתם ולהשוות אותה למה שיש במסד. במקרה הזה הביטוי שמצאתי בגוגל יהיה שווה לביטוי שיש במסד.. והופס.. אני בפנים ואלו היום 60 שניות עם אלעד איך פורצים אבטחה של פורום שחושב שהוא חכם ושומר סיסמא בעוגייה
__________________
eLad |
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|