6
תגובות

התחברות משתמש

פתח Alxy ,
שלום לכם תומכים יקרים (:

בעת העבודה על מערכת המשתמשים באתר אמרו לי שהשיטה בה אני עושה לא מאובטחת.

מה שאני עושה זה שבעת התחברות זה רושם קוקי עם שם המשתמש והסיסמה המוצפנת.

ובכל עמוד באתר זה בודק אם הם נכונים והגיוניים (כמובן שלמקרה שישנו קוקי למשהו הרסני גם בודק את הקוקי עצמו). אם לא - מוחק את הקוקי המסכן.

אז עד כמה השיטה מאובטחת? האם לשנות שבמקום שתירשם הסיסמה המוצפנת בקוקי, תירשם הסיסמה הלא מוצפנת של המשתמש? וכך האקר המסכן שינסה לגנוב פרטים מהמסד ייתקל בבעיה שלא ידע לאיזה סיסמה לשנות בקוקי? (אם זה יהיה ככה, זה יצפין בכל דף את הסיסמה מחדש ויאמת מול המסד)

כיצד ניתן עוד לאבטח?

תודה רבה לכם D:

6 תשובות

avatar ענה raslin ב 20 ליולי 2012 #

מה שעשית לא רע בכלל,
שם משתמש עם סיסמא מוצפנת (מוצפנת כמו שצריך ולא md5 פשוט, אולי איזה עם איזה HASH KEY)
ואז לחפש במסד איפה שם המשתמש עם הסיסמא המקודדת (כמובן במסד נתונים הסיסמא גם מקודדת כמו בעוגיה)

ועם זה אין שום בעיה

avatar ענה raslin ב 20 ליולי 2012 #

אגב, אתה בודק XSS, SQL INJECTION לפני שאתה קורא את העוגיה נכון?

avatar ענה Alxy ב 20 ליולי 2012 #

כמובן שבודק (:

הבעיה שאני מרגיש בשיטה היא שהאקר שיקבל בדרך כולשהי גישה לראות את טבלת המשתמשים פשוט יעתיק את הסיסמה המוצפנת (וכן כמו שכתבת היא עם האש) וידביק בקוקי שלו. לכן לא עדיף לעשות בקוקי של המשתמש את הסיסמה לא מוצפנת, ובכל דף בו הוא יכנס היא תוצפן ותואמת מול המסד?

avatar ענה JBStyle ב 20 ליולי 2012 #

אז תצפין את הסיסמא שבקוקי עם SALT שאותו הפורץ לא יודע וככה גם אם הוא ישיג גישה למסד ותהיה לו את הסיסמא מוצפנת, כשהוא ידביק אותה בקוקי זה לא יעבוד לו כי תהיה לך הצפנה על הקוקי שרק אתה יודע.
אם הוא משיג את הקוקי עצמו אתה כמובן בבעיות .

avatar ענה raslin ב 20 ליולי 2012 #

אם ההאקר גונב את הקוקי, אתה בבעיה בכל מקרה,
את גניבת הקוקי, זה מה שאתה צריך למנוע בכל מחיר, (XSS)
כל עוד ההאקר לא גנב את הקוקי, והקוקי עצמו לא מכיל מידע אינפורמטיבי, הכל טוב,
אם הוא גונב את הקוקי בכל זאת, וזה רק ע"י פריצה ישירה למחשב,
שזה נדיר, אז אפשר לראות אם הוא מתחבר מאיפי שונה, קידומת אייפי שונה,
ועוד ועוד טריקים,
אבל עקרונית, אתה לא צריך לחשוב מה יקרה אם יגנבו את העוגיה. אלא למנוע את זה

avatar ענה nocksh ב 21 ליולי 2012 #

תקרא את בתגובות של אלכס כאן