14
תגובות

session עם database

פתח razand ,
יצרתי מין מערכת session קטנה שכל משתמש מקבל key מיוחד.
וkey הזה מורכז ממספר רנדומלי+IP+סוג הדפדפן.
ככה שמי שיש לו דפדפן שונה \ IP שונה לא יוכל לגנוב את הסשן..


זה לדעתכם מספיק מוגן?
או שיש לכם רעיון איך לשפר את זה?

14 תשובות

avatar ענה OrelBeY ב 18 למרץ 2013 #

למה לא להשאיר את זה כמו שזה?

avatar ענה razand ב 18 למרץ 2013 #

להגן שלא יגנבו את הסשן..

avatar ענה OrelBeY ב 18 למרץ 2013 #

כן, קלטתי את זה. :)
עזוב, אני לא ממש מבין בפאן הזה של אבטחה.

avatar ענה mayden ב 18 למרץ 2013 #

מה המטרה הסופית שלך?

avatar ענה razand ב 18 למרץ 2013 #

שאם יגננבו את הסשן לא יהיה להם מה לעשות איתו

avatar ענה intval ב 18 למרץ 2013 #

א. לפברק דפדפן גם אתה יכול
ב. לפברק IP אפשר, לא בהרבה יותר מסובך מדפדפן אבל דורש הברנה בתחומים נוספים חוץ מ HTTP

הדרך הכי טובה להגן מפני גניבת סשן - זה לא לאפשר גניבת סשן (לא לאפשר XSS)
אם כבר גנבו לך את מזהה הסשן - אתה בבעיה ואין הרבה מה לעשות במקרה הזה.

avatar ענה ldbrgr ב 19 למרץ 2013 #

לא קשור לנושא, אבל אני לא בטוח שאפשר "לפברק IP", הרי זה tcp ככה שגם אם התוקף ישלח לשרת בקשה עם IP מפוברק הוא לא יקבל תשובה, נכון?

avatar ענה OrelBeY ב 19 למרץ 2013 #

בטח שאפשר. :)

avatar ענה ldbrgr ב 19 למרץ 2013 #

איך?

עריכה:
@OrelBeY, זה^^ לא נראה שאפשר XD

avatar ענה OrelBeY ב 20 למרץ 2013 #

מצטער שלא עניתי. הנה.

avatar ענה ldbrgr ב 21 למרץ 2013 #

אין בעיה לשנות IP, אני מדבר על "לפברק IP" ( *גם פרוקסי נחשב החבאת הIP המקורי ולא פברוק)
הקטע זה לשנות את הIP שלך לIP של הנתקף או לכל IP שאתה בוחר ולקבל תשובה מהשרת.
קיצור אין דרך לעשות את זה, גדולים ממנו כבר ניסו.

avatar ענה OrelBeY ב 21 למרץ 2013 #

אה, בזה אני לא מבין. אבל אם אלכס אמר, אז כנראה הוא יודע... נחכה עד שהוא יגיב...

avatar ענה mayden ב 21 למרץ 2013 #

עידן - מה הבעיה לגלוש דרך PROXY?

אבל לידע הכללי שלך, מדריך פשוט איך לזייף IP:
http://social.msdn.microsoft.com/Forums/en-US/csharpgeneral/thread/74ffc9b7-54de-40db-a7e9-2d87a9866468/

avatar ענה intval ב 21 למרץ 2013 #

זה לא כזה טריוויאלי בגלל שצריך להציב מחשב או פרוסקי כלשהו בדרך שבה עובר הפאקט בין הגולש לשרת.
בעיקרון זה מספיק מאובטח בגלל שזה לא הדבר הכי פשוט לעשות, אבל זה גם לא בלתי אפשרי