session עם database
וkey הזה מורכז ממספר רנדומלי+IP+סוג הדפדפן.
ככה שמי שיש לו דפדפן שונה \ IP שונה לא יוכל לגנוב את הסשן..
זה לדעתכם מספיק מוגן?
או שיש לכם רעיון איך לשפר את זה?
14 תשובות
א. לפברק דפדפן גם אתה יכול
ב. לפברק IP אפשר, לא בהרבה יותר מסובך מדפדפן אבל דורש הברנה בתחומים נוספים חוץ מ HTTP
הדרך הכי טובה להגן מפני גניבת סשן - זה לא לאפשר גניבת סשן (לא לאפשר XSS)
אם כבר גנבו לך את מזהה הסשן - אתה בבעיה ואין הרבה מה לעשות במקרה הזה.
לא קשור לנושא, אבל אני לא בטוח שאפשר "לפברק IP", הרי זה tcp ככה שגם אם התוקף ישלח לשרת בקשה עם IP מפוברק הוא לא יקבל תשובה, נכון?
אין בעיה לשנות IP, אני מדבר על "לפברק IP" ( *גם פרוקסי נחשב החבאת הIP המקורי ולא פברוק)
הקטע זה לשנות את הIP שלך לIP של הנתקף או לכל IP שאתה בוחר ולקבל תשובה מהשרת.
קיצור אין דרך לעשות את זה, גדולים ממנו כבר ניסו.
אה, בזה אני לא מבין. אבל אם אלכס אמר, אז כנראה הוא יודע... נחכה עד שהוא יגיב...
עידן - מה הבעיה לגלוש דרך PROXY?
אבל לידע הכללי שלך, מדריך פשוט איך לזייף IP:
http://social.msdn.microsoft.com/Forums/en-US/csharpgeneral/thread/74ffc9b7-54de-40db-a7e9-2d87a9866468/