30-08-2010, 10:00
|
|
|
חבר מתאריך: 25.08.03
הודעות: 9,114
|
|
אולי לא הבנתי אותך טוב, אבל נראה כי לא הבנת בשלמות את הנאמר, אלא נתפסת בנקודה אחת בלבד.
זה לא שאפשר לגנוב את הסשן - דבר שהוא נכון, והוא אף בהחלט כתוב בתוכן הדבר, אך רק בצמוד למס' משפטים נוספים המציגים באלו מקרים זה יותר בעייתי וגם מה הפתרון לכך.
תשים לב לדברים אלו:
(אני כותב את הדברים כפי שהם, לא מתוך הציטוט לעיל, כך שאין בהכרח לצפות לעקביות בדברים)
1. תכונות בסיסיות של סשן הם: א. יצירת קובץ סשן בשרת, בו נשמרים הנתונים. ב. שליחת קוד הסשן ללקוח (ע"מ לזהות בבקשה הבאה איזה קובץ סשן שלו).
2. שליחת קוד הסשן ללקוח יכולה להעשות באחת משתי דרכים אלו: א. כמשתנה בשורת הכתובת. ב. בעוגיה.
3. אפשר לגנוב קוד סשן וע"י כך כמובן להזדהות מול השרת כבעל הסשן.
4. גניבת הסשן קלה הרבה יותר כאשר קוד הסשן מועבר בשורת הכתובת, מאשר כשקוד הסשן מועבר בעוגיה.
5. הפתרון לבעיית קלות גניבת קוד הסשן כשהוא מועבר בשורת הכתובת, הוא כמובן להקפיד להעביר את קוד הסשן בעוגיה.
6. הפתרון לבעיית גניבת קוד הסשן - גם כשהקוד נשמר כעוגיה (הגם שפעולה זו -כפי שנאמר לעיל- כבר מעט קשה יותר מאשר לו קוד הסשן היה מועבר באמצעות שורת הכתובת), הוא להוסיף אמצעי זיהוי נוסף לקוד הסשן ולאמת את מוסר קוד הסשן גם באמצעות כתובת IP (שאוכסנה בסשן בזמן יצירת קובץ הסשן). בנוסף, הקפדה על משך זמן סביר עבור אי מחיקת קובץ הסשן, גם מוסיפה מימד כלשהו של אבטחה, כיון שנשאר לפורץ פחות זמן פעולה.
לסיכום:
1. כפי שציינתי, לא היה פה כלל מקום לדיון, בדיוק לשם כך מיועד הסשן, וגם אם במערכת גדולה כלשהו לא היו משתמשים באופן זה, עדיין זו התשובה הנכונה, כך שממש אין מקום לדיון.
2. יש בעיה שניתן לגנוב את הסשן? ישנן פתרונות פשוטים לטיפול בבעיה זו.
נערך לאחרונה ע"י ישראל K בתאריך 30-08-2010 בשעה 10:16.
|