19-09-2017, 14:36
|
|
|
|
חבר מתאריך: 12.04.06
הודעות: 2,021
|
|
אני מזהה כמה בעיות עם מה שניסית להציג:
1. מההיכרות שלי עם יצירת התחברות לאתרים, כיום כבר נוהגים לכלול בhash של העוגיה מזהה כלשהו (אחד או יותר) של המחשב עצמו (הדוגמא הפשוטה - איפי). בצורה כזאת, גם אם מישהו יעתיק את העוגיה למחשב שלו, הוא עדיין לא יוכל להתחבר, משום שאותו מזהה יהיה שונה. בדוגמא שלך "העתקת" את העוגיה לאותו דפדפן באותו מחשב עם אותו איפי. אני לא רואה שום סיבה שהאתר לא יחבר אותך מחדש.
2. בדוגמא שלך הראית איך "מתנתקים" מאתר שלא נותן להתנתק, על ידי מחיקת העוגיה במחשב שלך.
השיטה הזאת מנוגדת לכל מה שהראית בסרטון, הרי אם מישהו כבר העתיק ממך את העוגיה - הוא פשוט ישתמש בערך שלה, והוא יהיה מחובר. זה שאתה לא מחובר במחשב שלך, לא אומר שהשרת לא יחבר אותך במחשב אחר אם כל הערכים והבדיקות של העוגיות יהיו תקינות.
3. ציינת שלא מדובר בבעיית אבטחה באתר, אבל האמת היא שבצורה כזו או אחרת זו כן בעיה באתר. (תחשוב לדוגמא על אתר שמאפשר לך לבצע רכישות אונליין דרך משתמש מסויים, ולא יאמת שמי שמבצע את הרכישות זה באמת אתה. אם הם יצאו מהנחה שכל מי שמחובר לאתר עם הערך של העוגיה שלך הוא אתה - יהיו להם אלפי מקרים של גניבות, והנפגע העיקרי יהיה כנראה המשתמש שישלם על כל מה ש"נרכש" בשמו.)
לא סתם מרבית האתרים והשירותים כיום מוסיפים אימות דו שלבי ושולחים לך התראות כשהם מזהים התחברות ממכשיר לא מוכר. בצורה כזאת, גם אם אין באפשרות האתרים לוודא שזה באמת אתה - הם נותנים לך את המידע ומאפשרים לך (או נעזרים בך כדי) לאמת עבורם את הזהות שלך.
_____________________________________
|