lostyazilim
tr.link

Php cookie dışardan müdahale edilebilir mi?

18 Mesajlar 2.090 Okunma
acebozum
tr.link

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)
https://en.wikipedia.org/wiki/Replay_attack
 

 

wmaraci
reklam

BHA BHA bhamedya.com Kullanıcı
  • Üyelik 23.07.2014
  • Yaş/Cinsiyet 29 / E
  • Meslek Aşçı, Makale Yazarı
  • Konum İstanbul Avrupa
  • Ad Soyad B** A**
  • Mesajlar 1400
  • Beğeniler 460 / 461
  • Ticaret 20, (%100)
Sorunu çözebildiniz mi? Çözümü nasıl yaptınız bize de aktarabilir misiniz?
 

 

yazilimsoru yazilimsoru Yazilimsoru.com Kullanıcı
  • Üyelik 05.03.2018
  • Yaş/Cinsiyet 26 / E
  • Meslek Web developer
  • Konum İstanbul Avrupa
  • Ad Soyad İ** K**
  • Mesajlar 437
  • Beğeniler 132 / 131
  • Ticaret 0, (%0)
worldww şöyle bir şey var.Şifre değilde şifre yerine geçebilecek kod veriyoruz tamam şifreyi bilmiyorlar.Fakat "cookie editorler var" demiştiniz bu editörler ile kodu kullanıp giriş yaparlar değişen bir şey yok.Daha özel bir şey olmalı.

Mrtcn Gönderdiğiniz linke baktım.Sonra goole'dan araştırıp bir yerden daha baktım fakat anladığım tek şey sunucu ile kullanıcı arasında giden paketlere müdahale edilebildiği gibi bir şeydi.Doğru anlamışmıyım hocam?

BerkinAKTAŞ Malesef çözemedim.Eğer çözebilirsem burada bulabilirsiniz çözümü.
 

 

Web sitem: yazilimsoru.com

worldww worldww Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 21.04.2018
  • Yaş/Cinsiyet 25 / E
  • Meslek Öğrenci
  • Konum Sakarya
  • Ad Soyad B** Ö**
  • Mesajlar 2112
  • Beğeniler 626 / 737
  • Ticaret 4, (%100)

yazilimsoru adlı üyeden alıntı

worldww şöyle bir şey var.Şifre değilde şifre yerine geçebilecek kod veriyoruz tamam şifreyi bilmiyorlar.Fakat "cookie editorler var" demiştiniz bu editörler ile kodu kullanıp giriş yaparlar değişen bir şey yok.Daha özel bir şey olmalı.

Mrtcn Gönderdiğiniz linke baktım.Sonra goole'dan araştırıp bir yerden daha baktım fakat anladığım tek şey sunucu ile kullanıcı arasında giden paketlere müdahale edilebildiği gibi bir şeydi.Doğru anlamışmıyım hocam?

BerkinAKTAŞ Malesef çözemedim.Eğer çözebilirsem burada bulabilirsiniz çözümü.


Kendinize özel bir şifreleme algoritması yazar ve kullanırsanız sunucu hacklenmediği sürece erişemezler verilere.
yazilimsoru

kişi bu mesajı beğendi.

wmaraci
wmaraci

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)
yazilimsoru

Eh ona benzer, saldırgan erişirse yapılanları tekrarlar olay o :)

Siz ne yapmak istediğinizi söyleyin ona göre çözüm sunalım. Cookie güvenli değil onu söyleyeyimde.
yazilimsoru

kişi bu mesajı beğendi.

yazilimsoru yazilimsoru Yazilimsoru.com Kullanıcı
  • Üyelik 05.03.2018
  • Yaş/Cinsiyet 26 / E
  • Meslek Web developer
  • Konum İstanbul Avrupa
  • Ad Soyad İ** K**
  • Mesajlar 437
  • Beğeniler 132 / 131
  • Ticaret 0, (%0)
Mrtcn Benim asıl amacım "beni hatırla" sistemi yapmak.Normalde girişlerde session kullanıyorum cookie güvenli olmadığı için.Ama session'da da şöyle bir problem var.Tarayıcı kapandığı zaman siliniyorlar.Ya da bir süre geçince siliniyorlar.Ama cookielerde böyle bir olay yok.Baya bir araştırdım ingilizcem çok iyi değil ama yabancı kaynaklarada baktım anladığım kadarıyla çevirmeye çalıştım.Hepsinde cookie kullanılıyordu.Kullanıcının token'i oluyor ve siteye girdiğinde öyle bir token varsa şifre vs. yazmadan otomatik giriyor.Ama bununda şöyle bir saçmalığı var cookie içindeki şifre gözüküyorda token gözükmüyor mu? Gözüküyor tabikide.Adam o tokeni kullanarak gene giriş yapar.2 gündür araştırıyorum ama güvenli olduğuna inandığım bir sistem bulamadım.

Birde şöyle bir sorum olacak size.Cookieler bildiğim kadarıyla kullanıcının bilgisayarında tutuluyor.Doğru mudur bu? Buna başkası ulaşabilir mi site üzerinden?
 

 

Web sitem: yazilimsoru.com

eka7a eka7a openix.io Kullanıcı
  • Üyelik 18.06.2013
  • Yaş/Cinsiyet 39 / E
  • Meslek Yazılımcı
  • Konum Bursa
  • Ad Soyad E** K**
  • Mesajlar 651
  • Beğeniler 109 / 313
  • Ticaret 2, (%100)

yazilimsoru adlı üyeden alıntı

worldww YusufOzcan hayallerim suya düştü :( Cookie içinde kullanıcı adı ve token saklayacaktım fakat bunu görürler ve giriş yaparlar.Ben bu beni hatırla olayını yapamayacağım galiba.


Cookie de sakladığınız veriyi düz metin olarak değilde şifreleyerek saklayın. Şifrelenmiş veriyi çözecek özel anahtar sunucunuzda olduğu için özel anahtara sahip olmadan cookie verisini okuyamaz.

Ancak DB de saklamak daha sağlıklıdır.
 

 

Openix.io | $9.90 PositiveSSL | $12.90 RapidSSL

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)
3 farklı yöntem bulunuyor. En sağlıklısı veritabanında tutmak. Cookie'ye de bunu refer etmek bitti gitti. Saf php de bu işlemler ile uğraşmak yerin framework kullanıp 2 satır kod ile çözün gitsin.

https://laravel.com/docs/5.6/authentication#remembering-users
 

 

wmaraci
wmaraci
Konuyu toplam 2 kişi okuyor. (0 kullanıcı ve 2 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al