זיהוי משתמש לפי מאפיינים מיוחדים

[MAORBARI]

ציטוט:

נכתב במקור על ידי אבי בר

תקרא על oauth, כל האתרים הגדולים משתמשים בזה.

אבל לא הבנתי איך זה קשור?
אני מנסה למנוע את זה ולא לתת גישה..

[אבי בר]

ציטוט:

נכתב במקור על ידי MAORBARI

אבל לא הבנתי איך זה קשור?
אני מנסה למנוע את זה ולא לתת גישה..

אולי לא כל כך הבנת מה אתה בונה..
בעיקרון אתה מנסה לעשות מערכת התחברות שחסינה נגד man in the middle וxss וxcrf
oauth פותר את זה, תקרא על איך הם פתרו את כל הסוגיות שהעלת(או פשוט תשתמש בזה כמו כולם)

[בניה]

ציטוט:

נכתב במקור על ידי MAORBARI

היי תודה על העצה של התאריך. ומה הכוונה להצפין מפתח בפרטי?

ובניה הקטע שאם אני לא מאמת את מי שעומד מאחורי המחרוזת, כל אחד יכול להעתיק את הקוקיס ולהתחבר איתו.

אבל לא עושים ככה... זו שכבת הגנה מיותרת שהתועלת מוטת בספק.
מה יקרה אם המשתמש מתחבר מהפלאפון והלפטופ בבית שלו?

מה קורה אם הוא מתחבר משני דפדפנים שונים? מה קורה אם הip בבית שלו השתנה/גלש מבית קפה? אתה רוצה לנתק תשתמש?

יש מערכות התחברות שלוקחות בחשבון *גם* את הנתונים האלה אבל חבל על הזמן שלך. בלי להבין אותם טוב אתה רק תעשה באגים שימררו תחיים למשתמשים שלך.

תעשה עוגיות http only ותפעיל SSL וזה כבר יקשה על לגנוב תעוגיות

[בניה]

יצא שכל פעם שהגבתי זה היה מפלאפון ולא יכולתי להאריך.


אני ממליץ בחום שקודם תדאג שאתה יודע לכתוב מאובטח ולכתוב מערכת LOGIN בסיסית כמו שצריך ואחר כך תנסה לעשות דברים יותר מתוכחמים.
תקרא מערכות LOGIN של ספריות פופולאריות ותראה איך הם מימשו דברים ואילו פיצ'רים של אבטחה עם עשו.

מה אתה בעצם רוצה לעשות?
אתה בעצם אומר שאם יוזר מחובר, פתאום שולח בקשה מכתובת IP אחרת או עם user agent שונה (אפילו בטיפה...) זה בטח נסיון פריצה.
זו פשוט הנחה לא נכונה.
ופורץ מתוחכם יוכל לזייף בקשה שנראת אותו דבר גם עם הפרמטרים הללו. תלוי ברמת המוטיבציה שלו.

(אני לא אומר שאין שום מקום לעשות הערכות על בסיס כתובת IP וdevice aware login/session כדי לשפר את האבטחה אבל אני לא אכנס לזה כרגע)

[MAORBARI]

ציטוט:

נכתב במקור על ידי בניה

יצא שכל פעם שהגבתי זה היה מפלאפון ולא יכולתי להאריך.


אני ממליץ בחום שקודם תדאג שאתה יודע לכתוב מאובטח ולכתוב מערכת LOGIN בסיסית כמו שצריך ואחר כך תנסה לעשות דברים יותר מתוכחמים.
תקרא מערכות LOGIN של ספריות פופולאריות ותראה איך הם מימשו דברים ואילו פיצ'רים של אבטחה עם עשו.

מה אתה בעצם רוצה לעשות?
אתה בעצם אומר שאם יוזר מחובר, פתאום שולח בקשה מכתובת IP אחרת או עם user agent שונה (אפילו בטיפה...) זה בטח נסיון פריצה.
זו פשוט הנחה לא נכונה.
ופורץ מתוחכם יוכל לזייף בקשה שנראת אותו דבר גם עם הפרמטרים הללו. תלוי ברמת המוטיבציה שלו.

(אני לא אומר שאין שום מקום לעשות הערכות על בסיס כתובת IP וdevice aware login/session כדי לשפר את האבטחה אבל אני לא אכנס לזה כרגע)

אתה ממש לא הבנת אותי.
אל תוריד לי מהערך, אני יודע טוב מאוד לבנות מערכות לוגין. אבל בעקבות הפרצות אבטחה שישבמערכת לוגין בסיסית אני חשבתי קדימה.
אני ממש לא אומר ש IP שונה זה ניסיון פריצה, פשוט אם היית מחובר ויש לך עכשיו איי פי אחר -> עכשיו אתה כבר לא תהיה מחובר תצטרך להתחבר מחדש, אין מה לעשות זה נובע כדי לחסום שינויי איי פי מהירים ושיגוע המערכת, זה מונע את האפשרות להציף את המסד על ידי הכנסה יתרה של כתובות איי פי שנשמרות בלוגים ובסיישנים וכו'.

הדבר היחידי ששאלתי, זה איך לחסום גישה אם אני נמצא על אותה רשת (כלומר אותו איי פי), ואני מצליח לזייף את ה USER AGENT של משתמש אחר ומכאן גם את העוגייה שלו, אילו גורמים אפשר עוד לאבטח?
זה כל מה ששאלתי.

נ.ב זה לא מערכת רגילה, אלא מערכת מאובטחת, בלי שום קשר לSSL ולדברים אחרים שיהיו קיימים, אני חייב שהמערכת תהיה מאובטחת בקטע אחר, כלומר שמבחינתי מקסימום זמן התחברות הן 15 דקות ללא פעילות.