ענה raslin ב 20 ליולי 2012 #

מה שעשית לא רע בכלל,
שם משתמש עם סיסמא מוצפנת (מוצפנת כמו שצריך ולא md5 פשוט, אולי איזה עם איזה HASH KEY)
ואז לחפש במסד איפה שם המשתמש עם הסיסמא המקודדת (כמובן במסד נתונים הסיסמא גם מקודדת כמו בעוגיה)

ועם זה אין שום בעיה

ענה raslin ב 20 ליולי 2012 #

אגב, אתה בודק XSS, SQL INJECTION לפני שאתה קורא את העוגיה נכון?

ענה Alxy ב 20 ליולי 2012 #

כמובן שבודק (:

הבעיה שאני מרגיש בשיטה היא שהאקר שיקבל בדרך כולשהי גישה לראות את טבלת המשתמשים פשוט יעתיק את הסיסמה המוצפנת (וכן כמו שכתבת היא עם האש) וידביק בקוקי שלו. לכן לא עדיף לעשות בקוקי של המשתמש את הסיסמה לא מוצפנת, ובכל דף בו הוא יכנס היא תוצפן ותואמת מול המסד?

ענה JBStyle ב 20 ליולי 2012 #

אז תצפין את הסיסמא שבקוקי עם SALT שאותו הפורץ לא יודע וככה גם אם הוא ישיג גישה למסד ותהיה לו את הסיסמא מוצפנת, כשהוא ידביק אותה בקוקי זה לא יעבוד לו כי תהיה לך הצפנה על הקוקי שרק אתה יודע.
אם הוא משיג את הקוקי עצמו אתה כמובן בבעיות .

ענה raslin ב 20 ליולי 2012 #

אם ההאקר גונב את הקוקי, אתה בבעיה בכל מקרה,
את גניבת הקוקי, זה מה שאתה צריך למנוע בכל מחיר, (XSS)
כל עוד ההאקר לא גנב את הקוקי, והקוקי עצמו לא מכיל מידע אינפורמטיבי, הכל טוב,
אם הוא גונב את הקוקי בכל זאת, וזה רק ע"י פריצה ישירה למחשב,
שזה נדיר, אז אפשר לראות אם הוא מתחבר מאיפי שונה, קידומת אייפי שונה,
ועוד ועוד טריקים,
אבל עקרונית, אתה לא צריך לחשוב מה יקרה אם יגנבו את העוגיה. אלא למנוע את זה

ענה nocksh ב 21 ליולי 2012 #

תקרא את בתגובות של אלכס כאן