1. घर
  2. सवाल और जवाब
  3. प्रमाणीकरण के लिए केवल एक सत्र हैश की तुलना में अधिक कुकीज़ का उपयोग करने का कारण?

प्रमाणीकरण के लिए केवल एक सत्र हैश की तुलना में अधिक कुकीज़ का उपयोग करने का कारण?

2010-12-27 7 views
7

मैं आमतौर पर एक समुदाय में लटकता हूं जो बुलेटिन बोर्ड सॉफ़्टवेयर का उपयोग करता है।प्रमाणीकरण के लिए केवल एक सत्र हैश की तुलना में अधिक कुकीज़ का उपयोग करने का कारण?

मैं देख रहा था कि यह सॉफ्टवेयर मेरे ब्राउज़र में कुकी के रूप में सहेजता है।

जैसा कि आप देख सकते हैं कि यह 6 कुकीज़ बचाता है। इनमें क्या मैं authentification के लिए महत्वपूर्ण होने के लिए पर विचार कर रहे हैं:

  1. ngisessionhash: वर्तमान सत्र के हैश
  2. ngipassword: पासवर्ड
  3. ngiuserid के हैश (नहीं सादे पासवर्ड शायद) : उपयोगकर्ता का आईडी

ये मेरी धारणाएं हैं। मुझे यकीन नहीं है कि ngilastactivity और ngilastvisit इसी कारण से उपयोग किया जाता है।

मेरा प्रश्न है: प्रमाणीकरण के लिए इन सभी कुकी का उपयोग क्यों करें? मेरा अनुमान यह होगा कि शायद एक सत्र हैश उत्पन्न करना आसान होगा ताकि हैशस्पेवर्ड और यूजरिड सुरक्षा का उपयोग कर सकें लेकिन कुकी स्पूफिंग के बारे में क्या? मैं मूल रूप से ग्राहक को सभी मौलिक सूचनाओं पर छोड़ रहा हूं।

आपको क्या लगता है?

अद्यतन # 1

इन कुकीज़ की सामग्री को मैं क्या लगता है कि वे शामिल हैं। मुझे इसके बारे में निश्चित नहीं है। बेशक अगर एक कुकी ngivbpassword कॉल करें और एक हैश है, मेरा अनुमान हैशपासवर्ड है। शायद यह पासवर्ड + नमक हो सकता है।

मेरी मुख्य चिंता कुकी स्पूफिंग हमले के दौरान अधिक जानकारी देने के लिए इन समाधानों के बारे में है।

अद्यतन # 2 यह सवाल रास्ता इन विशिष्ट सॉफ्टवेयर काम करता है की आलोचना करने लेकिन ये उत्तर मैं सिर्फ एक वेब वातावरण में सॉफ्टवेयर हासिल करने के बारे में अधिक जानना चाहते हैं thorugh, नहीं चाहता है।

स्रोत

2010-12-27 dierre

+2

ngivbpassword पासवर्ड का हैश है ?? वास्तव में ?! प्रत्येक एन्क्रिप्टेड अनुरोध में अपना पासवर्ड हैश भेजने का एक बुरा विचार है ... – shfx

+0

हाँ, यह मेरा है: पी cb17eee800v1361cee7985d731673c8g – dierre

+0

@shfx: यह वास्तव में हैश है। मैंने अपना प्रश्न अपडेट कर दिया है क्योंकि शायद यह स्पष्ट नहीं था कि ये मेरी धारणाएं हैं। – dierre

उत्तर

2

ऐसा इसलिए होता है क्योंकि सत्र और लॉगिन कुकीज़ में अलग-अलग जीवन-वस्तुएं हो सकती हैं।

प्रतिदिन लाखों उपयोगकर्ताओं के साथ वेबसाइट की कल्पना करें। अगली बार जब आप वापस आएं तो वेबसाइट आपको एक साल तक अपने सत्र को स्टोर नहीं करेगी। वे इसके लिए लॉगिन कुकीज़ का उपयोग करते हैं।

इन कुकीज़ को याद रखें-मुझे कुकीज़ भी कहा जाता है।

स्रोत

2010-12-27 15:59:37

+2

असल में आप जो कह रहे हैं वह है: यदि सत्र समाप्त हो गया है, तो मैं सत्र की जांच करता हूं, फिर मैंने हैश पासवर्ड और आपके उपयोगकर्ता आईडी की जांच की है। अगर वे मेरे सिस्टम से मेल खाते हैं तो आप लॉगिन करेंगे। – dierre

+0

@dierre हाँ, बिल्कुल। –

+0

@ विटाली पोलोनेटस्की: क्या वह थोड़ा असुरक्षित नहीं है? मेरा हैश पासवर्ड मेरे कंप्यूटर पर है। – dierre

1

सत्र लगातार नहीं हैं। कुकीज़ हैं

अद्यतन # 1: मैंने vBullettin के साथ काम नहीं किया है लेकिन यह शास्त्रीय "मुझे याद रखें" सुविधा की तरह दिखता है।

अद्यतन # 2:

हाँ, यह एक मुझे सुविधा याद है, मैं पूछ क्यों वे कि रास्ता

ठीक है में भी कर रहे हैं हूँ ... कैसे क्या आप "मुझे याद रखें" सुविधा लागू करते हैं? आपको स्पष्ट रूप से कुकीज़ का उपयोग करने की आवश्यकता है, मुझे लगता है कि यह स्पष्ट है। अब, आप क्या स्टोर करते हैं?

स्पष्ट पाठ में उपयोगकर्ता और पासवर्ड को स्टोर करने और नियमित प्रमाणीकरण करने का सबसे अच्छा तरीका है। यह सबसे असुरक्षित तंत्रों में से एक है जिसका आप उपयोग कर सकते हैं अभी तक कुछ साइटें वास्तव में ऐसा करती हैं।

दूसरा थोड़ा कम बेवकूफ तरीका उपयोगकर्ता और पासवर्ड के हैश को स्टोर करना और नियमित प्रमाणीकरण का एक संशोधित संस्करण करना है। पिछले विधि के रूप में बुरा नहीं है लेकिन यह अभी भी कुछ मुद्दों से पीड़ित है; उदाहरण के लिए, सर्वर से सहेजी गई कुकी को अक्षम या समाप्त करने का कोई प्रभावी तरीका नहीं है।

तीसरा तरीका "यादगार" सत्रों के साथ डेटाबेस तालिका रखना है, प्रत्येक को एक लंबे अद्वितीय स्ट्रिंग के साथ पहचानें और कुकी में ऐसी स्ट्रिंग स्टोर करें। स्ट्रिंग यादृच्छिक या गणना की जा सकती है, लेकिन, निश्चित रूप से, यादृच्छिकता का लाभ यह है कि स्ट्रिंग को अनुमानित नहीं किया जा सकता है भले ही आप एल्गोरिदम को जानते हों।

अधिक सुरक्षा सर्वर में तारीखों, आईपी पते और डेटा के अन्य टुकड़े को संग्रहीत करके पूरा किया जा सकता है।

जैसा कि मैंने कहा, मैं vBulleting के बारे में कुछ भी नहीं पता, लेकिन यह वे विधि 2 या विधि 3.

अद्यतन # 3 का उपयोग कर रहे लगता है:

इन कुकीज़ की सामग्री क्या हैं मुझे लगता है कि वे शामिल हैं। मुझे यकीन है कि इसके बारे में सुनिश्चित नहीं है। बेशक अगर एक कुकी ngivbpassword पर कॉल करें और इसमें हैश है, तो मेरा अनुमान हैशपासवर्ड है। शायद यह पासवर्ड + नमक हो सकता है। [...] मेरा मुख्य चिंता को कुकी स्पूफिंग हमले के तहत अधिक जानकारी के लिए इन समाधानों के बारे में है।

सफलतापूर्वक कुकी स्पूफिंग आपको उपयोगकर्ता का पूरी तरह से प्रतिरूपण करने की अनुमति देता है ताकि आप केवल नियंत्रण कक्ष में प्रवेश कर सकें और मुफ्त बुफे का आनंद उठा सकें, जिससे कुकी सामग्री अप्रासंगिक हो।

चाहे वे नमकीन पासवर्ड संग्रहीत करें या यह सिर्फ एक नाम है, यह कुछ ऐसा है जो मुझे नहीं पता।

स्रोत

2010-12-27 15:02:08

+0

शायद मेरा प्रश्न स्पष्ट नहीं है। मैंने नहीं पूछा कि वे आम तौर पर कुकीज़ का उपयोग क्यों करते हैं। मैंने कुकी कॉन्फ़िगरेशन के बारे में पूछा है। क्यों थाश का उपयोग सत्र और पासवर्ड और उपयोगकर्ता आईडी धोया। वह सब क्यों – dierre

+0

हाँ, यह मुझे याद रखने की सुविधा है, मैं पूछ रहा हूं कि वे इसे इस तरह क्यों कर रहे हैं। – dierre

+0

क्योंकि वे इसे गलत कर रहे हैं। सर्वर पर सत्र कुकी और सत्र तालिका पर टीटीएल सेट करके आप सत्र टीटीएल को नियंत्रित कर सकते हैं। – shfx

0

यहां एक प्रश्न है, आपकी चिंता क्या है? क्या आप किसी प्रकार की प्रमाणीकरण प्रणाली बना रहे हैं? मुझे यह भी लगता है कि कुकीज़ में उपयोगकर्ता आईडी और पासवर्ड होने से सुरक्षा समस्या हो सकती है। उपयोगकर्ता आईडी एन्कोडेड या एक पूर्णांक है?

स्रोत

2010-12-27 15:53:13 Pablo

+1

बस एक पूर्णांक। नहीं, मैं एक इमारत नहीं बना रहा हूँ। लेकिन मुझे कंप्यूटर इंजीनियरिंग में मेरा मास्टर मिल रहा है और मैंने सुरक्षा मुद्दे सीखने में पिछले सेमेस्टर का हिस्सा बिताया है, इसलिए यह समझने के लिए एक प्राकृतिक सवाल था कि क्यों वीबी प्रमाणीकरण को संभालने के लिए कुकीज़ का उपयोग कर रहा है। – dierre

+0

सबसे पहले, मुझे कोई संकेत नहीं है कि इस कुकीज़ का उपयोग करके वीबी कैसे है। मुझे इस टॉपी पर मेरी सबसे अच्छी दिलचस्पी के बारे में और बात करना अच्छा लगेगा लेकिन मैं अपने फोन पर हूं। मेरे पास एक ओपन सोर्स PHP उपयोगकर्ता प्रमाणीकरण क्लास प्रोजेक्ट है जिसे यूफ्लेक्स कहा जाता है, जहां मैंने एन्कोडर्स में पासवर्ड हैश और एनकोड यूज़र आईडी के साथ ऑटोलॉगिन के लिए एक हैश बनाने के लिए बनाया था। – Pablo

0

  • कुकीज़ के रूप में छोटे के रूप में वे कर सकते हैं-होना चाहिए जो आप सर्वर पर कर रहे हैं के बारे में जानकारी की शांति।

  • सत्रशैश, session_id या sid आप की अद्वितीय आईडी (सर्वर पर आपका सत्र) है। बाकी कुकीज़ को सर्वर की ओर आसानी से छुपाया जा सकता है।

  • कुकीज़ में होल्डिंग पासवर्ड हैश एक सुरक्षा समस्या है। आपको इससे बचना चाहिए।

  • अंतिम 4 कुकीज़ Google विज्ञापनों से आती हैं।

पीएस। वैसे भी अधिकांश बुलेटिन बोर्ड इतने महान सॉफ्टवेयर नहीं हैं।

स्रोत

2010-12-27 15:58:23 shfx

+0

मैंने अपना प्रश्न अपडेट किया है। मैंने बेहतर पासवर्ड की जानकारी को समझाया। मैं एन्क्रिप्टेड व्यक्त करने के लिए हैश का उपयोग कर रहा था लेकिन यह स्पष्ट नहीं था। – dierre

+0

@ डियर एन्क्रिप्शन वास्तव में हैशिंग जैसा ही नहीं है, लेकिन आपने इसे समझ लिया है। वैसे भी मास्टर कैसे चला गया? साढ़े चार साल बाद उत्तर देने के लिए खेद है, बस इस रोचक चर्चा में उलझा हुआ है :) – Jonast92

संबंधित मुद्दे

 संबंधित मुद्दे