صفحة 2 من 2 الأولىالأولى 12
النتائج 16 إلى 19 من 19

الموضوع: [إستفسار عاجل] لماذا نستخدم ال SESSION id ؟؟

  1. #16
    عضو سوبر نشيط
    تاريخ التسجيل
    May 2007
    المشاركات
    947


    Mr.Ahmed EssAm .. المشكلة ليست في فك تشفير الكوكيز .. وغالباً لن تتمكن من فك تشفيره لانه بكل بساطة يمكن ان اخزن بالكوكيز الباسوورد مشفر بال md5 عدة مرات وادخال معه متغير اخر كما هو الحال في ال vb.
    وكما قال الاخ محب الله ورسوله وهو ما قصدته في ردي السابق .. كل ما يمكن عمله هو اختراق جهاز المستخدم وجلب الكوكيز بأي طريقة كانت سواء عن طريق برامج او عن طريق ثغرة xss .. ولقد جربت هذه الطريقة فعلاً ونجحت .. كل ما يتم عمله اني استبدل قيم الكوكيز التي عندي بالقيم الجديدة (التي تم سرقتها من جهاز ما)
    ثم تقوم بالدخول للمنتدى او الموقع وستجد نفسك هو العضو صاحب الكوكيز.
    لكن من المستحيل ان تعرف كلمة السر له.
    لذلك المشكلة فعلاً ليست مشكلة برمجية بل مشكلة من المستخدم نفسه لانه هو في الحقيقة من يتسبب في اختراق جهازه وسرقة الكوكيز .





    __________________
    قل اللهم مالك المُلك تؤتي الملك من تشاء وتنزع الملك ممن تشاء وتعز من تشاء وتذل من تشاء بيدك الخير انك على كل شىء قدير

  2. #17
    عضو فعال جدا
    تاريخ التسجيل
    Sep 2007
    المشاركات
    2,065


    خشباوي - لا اعرف لكن استعمال كل هذه الدوال مثل base64_decode وغيرها جيد في المواقع الصغيرة ....
    لكن في المواقع الكبيرة يحبذ تجنبها ....
    يجب دائماً الاهتمام بال Script Optimization وعندها تكون وظيفة المبرمج قياس وقت كل سكريبت

    أهلا بيك أستاذى شادى .. نورتنا برأيك و أنا معك فيما قلته




    خطورة الكوكيز لا تكمن فقط في قوة البرمجيه وتجنب ثغرات الxss ولكن تعتمد ايضا على المستخدم ووعيه

    فاذا تم زرع باتش لاحد برامج الهاكنج سيتم سحب كامل الكوكيز بجهاز المصاب وفك تشفيرها عن طريق نفس البرنامج وتقديمها للمخترق جاهزه وهذا عن تجربه

    لذلك اعتماد السكربت بشكل اساسي على الكوكيز امر خاطئ ولكن يمكنك وضعها كاختيار امام الزائر مثل الفيبلتون تقدم خيار حفظ الكوكيز وليس اجباري

    ولولا قصور الكوكيز لما ظهرت السيشن



    Mr.Ahmed EssAm .. المشكلة ليست في فك تشفير الكوكيز .. وغالباً لن تتمكن من فك تشفيره لانه بكل بساطة يمكن ان اخزن بالكوكيز الباسوورد مشفر بال md5 عدة مرات وادخال معه متغير اخر كما هو الحال في ال vb.
    وكما قال الاخ محب الله ورسوله وهو ما قصدته في ردي السابق .. كل ما يمكن عمله هو اختراق جهاز المستخدم وجلب الكوكيز بأي طريقة كانت سواء عن طريق برامج او عن طريق ثغرة xss .. ولقد جربت هذه الطريقة فعلاً ونجحت .. كل ما يتم عمله اني استبدل قيم الكوكيز التي عندي بالقيم الجديدة (التي تم سرقتها من جهاز ما)
    ثم تقوم بالدخول للمنتدى او الموقع وستجد نفسك هو العضو صاحب الكوكيز.
    لكن من المستحيل ان تعرف كلمة السر له.
    لذلك المشكلة فعلاً ليست مشكلة برمجية بل مشكلة من المستخدم نفسه لانه هو في الحقيقة من يتسبب في اختراق جهازه وسرقة الكوكيز .


    نعم أنا الآن فهمت أنكم تقصدون سرقة الكوكيز ... وليس اللعب بها أو فك تشفيرها

    شكراً لكم و لإفاداتكم الرائعه التى أفادتنى






  3. #18


    شكر لكل المتناقشن
    أخي khashabawy خلاصة ما تناقشنا فيه جميعاً ألا بأس من استخدام الكوكيز ولكن خذ معك هاتين النقطتين

    1- اجعل خيار حفظ الكوكيز اختياري وليس اجباري وذلك لتخلي مسئوليتك ( لو لم يختار الزائر حفظ الكوكيز ايضا لا تستخدم الجلسات ولكن استخدم كوكيز منتهي الوقت )

    2- لا تحفظ اية بيانات هامة في ملف الكوكيز

    فقط رقم العضوية وكود مشفر وظيفته جلب الجلسة من قاعدة البيانات وهو كود مشفر خاص بالجلسة فقط ويتم توليده من لديك بحسب عدة اعتبارات يعني لا فائدة من فكه من الاساس





    __________________
    السيف أصدق أنباء من الكتب

  4. #19
    عضو فعال جدا
    تاريخ التسجيل
    Sep 2007
    المشاركات
    2,065


    شكر لكل المتناقشن
    أخي khashabawy خلاصة ما تناقشنا فيه جميعاً ألا بأس من استخدام الكوكيز ولكن خذ معك هاتين النقطتين

    1- اجعل خيار حفظ الكوكيز اختياري وليس اجباري وذلك لتخلي مسئوليتك ( لو لم يختار الزائر حفظ الكوكيز ايضا لا تستخدم الجلسات ولكن استخدم كوكيز منتهي الوقت )

    2- لا تحفظ اية بيانات هامة في ملف الكوكيز

    فقط رقم العضوية وكود مشفر وظيفته جلب الجلسة من قاعدة البيانات وهو كود مشفر خاص بالجلسة فقط ويتم توليده من لديك بحسب عدة اعتبارات يعني لا فائدة من فكه من الاساس

    جزاك الله و كل المتناقشين خيراً .. فقد إستفدت كثيراً ف الحقيقة فى موضوع الكوكيز و السيشن من هذه المناقشه

    أما بالنسبة للبرمجية التى أعمل عليه حالياً فأنا أستخدم فيها كوكيز ينتهى بعد ساعه .. و إن شاء الله تعالى فى البرمجيات التالية سأستخدم طريقة ال sesssion id التى ذكرتها بارك الله فيك










ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض