העמממ :| אבטחת עוגיה? - הוסטס

sUP · 27-05-06, 22:13

יש רעיונות לעשות אבטחה כלשהי למתחברים לאתר?
שלא ישתמשו להם במשתמשים וזה..

Alter · 27-05-06, 22:30

בדיקה עם איי פי שהאייפי שאתה משתמש בו עכשיו הוא באמת האייפי שכתוב בעוגיה?
קצת לא יעיל , כי אפשר לשנות אייפי ואם האיפי משתנה אז נדפקים , אבל אין לי ממש רעיונות.
אולי הצפנה של המספר משתמש והסיסמא =\

-VladK- · 28-05-06, 06:07

מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

MasterNir · 28-05-06, 10:37

ציטוט:

נכתב במקור על ידי CriSis

מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

אבל אז אתה מאבד את כל האפקט של העוגיה...

אתה יכול לבדוק IP כמו שהבחור ההוא אמר או שאתה יכול לבדוק את הטווח של ה-IP.
אתה יכול ליצור עוד עוגיה שתאשר את השימוש בעוגיה בשביל להתחבר, כך הפורץ יצטרך לדעת לגנוב את שתי העוגיות ולא רק אחת.

אבל בגדול אבטחת עוגיות נעשת בעיקר בצד הלקוח, אתה לא יכול לעשות הרבה.

sUP · 28-05-06, 11:59

הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!

Alter · 28-05-06, 12:35

ציטוט:

נכתב במקור על ידי sUP

הממ ה IP זה לא ממש רעיון טוב,
מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי,
או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה..
--

בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות?
או שיש עוד משהו שניתן לעשות?

תודה רבה לכל העונים!

אי אבטחה של עוגיה פשוט יתן לכל אחד להתחבר לחשבון בלי בעיה.
למשל אני מנהל של האתר שאתה בונה ויש לי במחשב עוגיה שזוכרת את השם משתמש והסיסמא שלי, מישהו פרץ לי למחשב וגנב את העוגיה, שם אצלו בתיקיה הנכונה והופ הוא מנהל לתפארת מדינת הנוכלים.

sUP · 28-05-06, 13:33

אז איך מבצעים אבטחה נכונה?

Alon.R · 28-05-06, 13:39

דבר ראשון, עוגייה של סיסמא שתצתרף לעוגיות האחרות.
ובדיקה של השם משתמש אם הוא תואם לסיסמא בעוגיה ולעוגיית הID (במידה ויש כזאת).

בניה · 28-05-06, 14:28

ב"ה

אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.

miniature · 28-05-06, 14:32

ציטוט:

נכתב במקור על ידי בניה

ב"ה

אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה.
יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים)
ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום.

וכאשר מישהו ינסה להתחבר ממחשב ב' כאשר במחשב א' המשתמש מחובר והעוגיה קיימת, הוא לא יאפשר להתחבר.

27-05-06, 22:13	# 1
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	העמממ :\| אבטחת עוגיה? יש רעיונות לעשות אבטחה כלשהי למתחברים לאתר? שלא ישתמשו להם במשתמשים וזה.. __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

27-05-06, 22:30	# 2
Alter תודה על תרומתך. מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 34 הודעות: 3,103	בדיקה עם איי פי שהאייפי שאתה משתמש בו עכשיו הוא באמת האייפי שכתוב בעוגיה? קצת לא יעיל , כי אפשר לשנות אייפי ואם האיפי משתנה אז נדפקים , אבל אין לי ממש רעיונות. אולי הצפנה של המספר משתמש והסיסמא =\ __________________ Alter.

28-05-06, 11:59	# 5
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	הממ ה IP זה לא ממש רעיון טוב, מיניאטור הביא לי רעיון דומה, אבל אם אותו בנאדם יש לו איפי דינאמי, או שלדוגמא הוא רוצה להכנס ממחשב אחר, זה יוצר בעיה.. -- בכל מקרה, "אי" אבטחת עוגיה, יכולה לגרום לפריצות רציניות? או שיש עוד משהו שניתן לעשות? תודה רבה לכל העונים! __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

28-05-06, 13:33	# 7
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	אז איך מבצעים אבטחה נכונה? __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

28-05-06, 14:28	# 9
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה אלעד הביא פעם את הצורה הכי טובה שאפשר לקבל מעוגיה. יוצרים טבלה במסד נתונים, וכשאדם מתחבר יוצרים מחרוזת רנדומאלית ושמים בעוגיה ובמסד נתונים ובמסד נתונים שומרים גם איזה משתמש זה ואת מה שצריך.(אפשר לעשות את זה גם בטבלה של המשתמשים) ואם גונבים את העוגיה שלו ברגע שהוא מתנתק ומתחבר שוב אז המחרוזת משתנה והעוגיה שנגנבה לא שווה כלום. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

28-05-06, 06:07	# 3
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 33 הודעות: 2,182	מה דעתך על שהעוגיות ימחקו אחרי X שניות של חוסר פעולה?

28-05-06, 13:39	# 8
Alon.R הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 2,435	דבר ראשון, עוגייה של סיסמא שתצתרף לעוגיות האחרות. ובדיקה של השם משתמש אם הוא תואם לסיסמא בעוגיה ולעוגיית הID (במידה ויש כזאת).

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)