פרש - אבטחה ב-sessions

אפשרות תפריט

ראשי

אפשרות תפריט

צ'אט

אפשרות תפריט

מבזקים

אפשרות תפריט

חץ שמאלה

‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read();‎

חץ ימינה

		לובי הפורומים > מחשבים > תכנות ובניית אתרים
אבטחה ב-sessions

שאלות נפוצות

רשימת הגולשים

ההודעות של היום

סמן פורומים כנקראו

שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים

תגובה

« לאשכול הקודם | לאשכול הבא »

כלי אשכול

חפש באשכול זה

ישן

29-10-2007, 16:57

Dark Knight Dark Knight אינו מחובר

Dark Knight אינו מחובר

חבר מתאריך: 30.07.05

הודעות: 949

שלח הודעה דרך ICQ אל Dark Knight

אבטחה ב-sessions

שלום,
רציתי לפתוח פה דיון קטן על כמה sessions הם בעצם מאובטחים...

בניתי מערכת הזדהות פשוטה:
מכניסים שם משתמש וסיסמה, אלו נבדקים מול מסד הנתונים ואם המידע מתאים שם המשתמש והסיסמה שלו (ב-MD5 כמובן) מוכנסים ל-session.

השאלה היא כמה עבודה כזו מאובטחת:
1) האם מישהו יכול להציץ לי למשתני ה-session? לא שזה מאד יעזור אבל בכ"ז...
2) האם יש אפשרות ליצור מידע דמה ב-sessions? כלומר האם מספיק לי לבדוק שהמשתנים הנ"ל הוגדרו, או שמה בכל פעם צריך לבדוק האם המידע ב-session מתאים לזה במסד?

אשמח לדעת כיצד כדאי לשפר את האבטחה כשמשתמשים ב-session cookie.

ערב נהדר,

_____________________________________

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט

תגובה עם ציטוט

חזרה לפורום

ישן

29-10-2007, 17:04

Blaz3R אינו מחובר

חבר מתאריך: 11.06.05

הודעות: 20

שלח הודעה דרך ICQ אל Blaz3R

בתגובה להודעה מספר 1 שנכתבה על ידי Dark Knight שמתחילה ב "אבטחה ב-sessions"

להציץ למשתנים שלך-לא(תלוי איפה..שאלה לא מובנת). אבל בהחלט אפשר ליצר משתני סששן וזה עונה לך על השאלה השנייה..אתה צריך לבדוק במסד תמיד..

_____________________________________

אתר הפרילנסרים של ישראל
בניית אתרים | עיצוב אתרים | בונה אתרים | מפתח תוכנה | מתרגם | פרילנסר | פרילאנסר | פלאשר

תגובה ללא ציטוט

תגובה עם ציטוט

חזרה לפורום

ישן

29-10-2007, 18:40

צלמית המשתמש של maxim k

maxim k אינו מחובר

חבר מתאריך: 05.08.06

הודעות: 2,860

שלח הודעה דרך MSN אל maxim k

בתגובה להודעה מספר 1 שנכתבה על ידי Dark Knight שמתחילה ב "אבטחה ב-sessions"

לא ניתן לקרוא את המידע בסשן אלא אם כן אתה מציג אותו או שלפורץ יש גישה לשרת (או שיש פירצה באתר שמאפשרת למשתמש לעשות זאת).
לא ניתן ליצור מידע דמה (אלא אם כן יש פירצה באתר שלך שמאפשרת את זה).

נקודת ההשקה היחידה בין משתמש הקצה לסשן הוא מה שמוצג באתר והsession id שמועבר בעוגיה או URL. הפגיעויות העיקריות של סשנים בהקשר זה נקראת session hijacking וsession fixation. אתה מוזמן לקרוא על כך.

קיימת פגיעות שמשום מה מודעים אליה פחות, בשרתים שמשתפים כמה אתרים, קוד php של אתר אחר יכול לגשת אל קבצי הסשן שלך ולשנות אותם. לכן תמיד צריך לממש מנגנון סשן משלך, עדיף במסד נתונים שרק למשתמש שלך יש אליו גישה. (זה גם נוח וגם מצריך סיסמא כדי לשנות סשנים).

כמובן שיש לנקוט בכל אמצעי הזהירות הרגילים כמו אימות קלט וכו'.

תגובה ללא ציטוט

תגובה עם ציטוט

חזרה לפורום

ישן

29-10-2007, 19:24

Dark Knight Dark Knight אינו מחובר

Dark Knight אינו מחובר

חבר מתאריך: 30.07.05

הודעות: 949

שלח הודעה דרך ICQ אל Dark Knight

בתגובה להודעה מספר 3 שנכתבה על ידי maxim k שמתחילה ב "לא ניתן לקרוא את המידע בסשן..."

אם כבר אנחנו מדברים על לממש לבד, מה עדיף: GET או עוגיות? (ולמה)

_____________________________________

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

תגובה ללא ציטוט

תגובה עם ציטוט

חזרה לפורום

תגובה

« לאשכול הקודם | לאשכול הבא »

כלי אשכול	חפש באשכול זה
הצג גירסת הדפסה שלח דף זה ב E-Mail	חפש באשכול זה: חיפוש מתקדם
מצבי תצוגה	דרג אשכול זה
עבור למצב לינארי מצב כלאיים עבור למצב משורשר	דרג אשכול זה:

אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים אתה לא יכול להגיב לאשכולות אתה לא יכול לצרף קבצים אתה לא יכול לערוך את ההודעות שלך קוד vB פעיל סמיילים פעיל קוד [IMG] פעיל קוד HTML כבוי

מעבר לפורום

כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 12:45

צור קשר | תקנון האתר