ארכיון רד-בורד: התחברות לפורום web wiz תוך שימוש

ראשי > אבטחת מידע > התחברות לפורום web wiz תוך שימוש

26/12/2004 18:32:44 MeDuZa

בסיסמא מוצפנת, הכיצד?

יש בידי מסד נתונים של פורום webwiz כלשהו, האם זה אפשרי להתחבר דרך עריכת קובץ cockie או ע"י שימוש בפרמטרים בURL ? אם כן, הכיצד?

לצורך העניין:

יוזר - webmaster
יוזר ID- webmaster5B5D6CCC5E
סיסמא - EBB406EEAADAD77651899630ADCD5FDFA503A37A

תודה מראש.

26/12/2004 19:01:09 Admin

אני מניח שאם תשיג עוגייה של משתמש במערכת לא צריכה להיות בעייה להתחבר איתה לפורום מאחר ובה נמצאים הפרטי התחברות של המשתמש שאיתם המערכת משתמשת על-מנת לזהות את המשתמש.

נסיתי לחשוב על העסק בדקות האחרונות, לראות אם יש פתרון כלשהו לאפשרות של המנעות מזיוף עוגיות במערכת, אבל כל אפשרות שחשבתי עליה הייתה צריכה לכלול את הנתונים במסד הנתונים (דבר שיש לך גישה אליו), והייתה הופכת את ההתחברות למערכת לחד פעמית לכל מחשב, כך שברגע שהיית מנסה להתחבר למערכת ממחשב אחר ולאחר-מכן לחזור להתחבר דרך המחשב הרגיל העוגייה שלך הייתה נמחקת מאי תאימות.

במילים אחרות, מה שאני מנסה לאמר זה שאני לא יכול לחשוב על דרך למנוע התחברות בשיטה שאתה מציע פה כך שלא צריכה להיות בעייה, עם זאת יכול להיות שכן יש אפשרות למניעת התחברות בזיוף עוגיות שלא חשבתי עליה. מה שכן - אתה צריך לדעת איך העוגייה בנוייה על-מנת לשלב את הפרטים שיש לך ולעבוד על המערכת בהצלחה.

עם-זאת אל תהיה תלוי על המילים שלי כי יש סיכוי די גדול שאני טועה, אתה מוזמן לנסות ולהגיב פה איך הלך או לחכות לתגובה מחכמים וטובים ממני..

26/12/2004 23:55:06 cp77fk4r

גם אני לא מכיר דרך להגן פני זיוף קוקיז, ואם אתה לא מצליח לבנות את הקוקיז המזוייף ולהכניס בו את המידע שהצלחת לגנוב, הכי טוב זה פשוט לפתוח על אותה המערכת שני חשבונות- להתחבר אליה, ולשמור את שני העוגייות שקיבלת (שניהם שונות זו מזו), וככה יהיה לך יותר קל (ע"י הסתכות בשניהם ביחד) לראות איפה נכנסת הסיסמה (שאני מניח שתהיה מוצפנת- אבל זה בסדר, אתה לא אמור לפענח אותה) ואיפה נכנס היוזר והמייל.

מה שאני אומר זה שפשוט תרשם למערכת עם חשבון שלך- ותערוך את המידע שבקוקיז, אם תתקבל בבעיות, כתוב אותן פה.

27/12/2004 18:49:44 Admin

עכשיו חשבתי על אפשרות של הצפנות שונות בין הסיסמה שבעוגייה לזו שבמסד הנתונים, דבר שיאפשר להגן על חשבון המשתמש במקרה של השגת הסיסמה המוצפנת דרך מסד הנתונים אך עדיין לא יאפשר הגנה על העוגייה, עם זאת הנתונים שהשגת הם ממסד הנתונים כך שדרך זו יכולה להגן עליהם.

מה אני מתכוון:
העוגייה מוגנת בהצפנה מסויימת, והמסד נתונים מוגן בהצפנה של ההצפנה שעל העוגייה.
1 - משתמש בא להתחבר ומזין סיסמה.
2- -הסיסמה מומרת לקוד המוצפן ונשמרת תחת המשתנה first_password.
3 - הקוד המוצפן שבמשתנה first_password מומר לקוד מוצפן נוסף (אותה הצפנה או הצפנה שונה, לבחירת המתכנת) שנשמר במשתנה second_password.
4 - המערכת בודקת את הסיסמה במסד הנתונים עם זו שבמשתנה second_password ובמידה והיא נכונה הסיסמה שבמשתנה first_password נשמרת בעוגייה.

הדבר אולי לא יגן על הנתונים שהעוגייה אבל כן יגן על הנתונים במקרה של השגתם באמצעות SQL INJECTION או הוצאת ישירות ממסד הנתונים.

הדרך היחידה שהצלחתי לחשוב עליה שיכולה להגן על חשבון המשתמש גם בעת גניבת העוגייה, היא סיסמה שלא קשורה בעוגייה אותה יצטרך המשתמש להזין בכניסה לכל עמוד שמוציא את הנתונים מהעוגייה (מאחר ואם אותה סיסמה תשמר בדרך כלשהי על מחשב המשתמש גם באופן זמני, יוכלו להשיג אותה כשם שיוכלו להשיג את העוגייה), וכך גם אם העוגייה תזוייף עדיין לא יוכלו להתחבר לחשבון המשתמש בלי לדעת מה הסיסמה האישית שלו לעמוד, שיכולה להמצא בכל מקום (בעמוד צד שרת, במסד נתונים מכל סוג שהו וכו’.).

27/12/2004 19:15:11 cp77fk4r

הרעיון השני יעזור אבל...
אבל אתה מאבד פה את האפקט של העוגיה, המטרה של העוגיה היא לשמור את הנתונים כך שהמשתמש לא יהיה צריך להקליד אותם כל פעם מחדש (נתונים כמו שם משתמש וסיסמה).
אם יש סיסמה שניה שהוא צריך להקליד- כזאת שלא נשמרת על העוגיה, אז המשתמש לא יוכל לגשת חופשי לאתר- והוא יהיה צריך להקליד את הסיסמה האישית, זאת שלא נשמרת בעוגיה...

עמודים: 1