هل من طرق عملية لتجنب تزوير الكوكيز ؟
في حال كان الموقع يعتمد على الكوكيز لتمييز المستخدم و تم سرقته من قبل مستخدم آخر
هل يوجد طريقة عملية لتمييز المستخدم صاحب الكوكيز من السارق ؟
أعتمد عادة على رقم ال ip كون المستخدم لا يستطيع تحديده
لكن الأمر غير عملي في كثير من الأحيان لان المستخدم يضطر لسجيل الدخول عند كل تغيير لل ip
هل يوجد طرق أخرى ؟
مع تحياتي
لايوجد طرق غير تامين الاتصال استخدم HTTPS وتعقب الip هذه الطريقه المتبعه حتى في ال cpanel ...
اعتقد لايوجد طريقه اخرى تضمن اكتشاف سرقه الكوكيز 100% ..
حل اخر غير الكوكيز كل 5 دقائق مثلاً .
لا يوجد. المهم أن تتأكد أن سارق الكوكيز لم يسرقه إلا بعد إستعماله للحاسوب... أي مباشرة من المتصفح ما يعني أنه يستطيع الوصول لذلك الحاسوب على أية حال.
ما يمكن عمله هو إستخدام HTTPS والتأكد أن لا وجود لأي ثغرة XSS أو غيرها.
كما يجب أن يكون الكوكيز ل Session لدخول للمستخدم، فبمجرد الخروج لا يمكن استعماله من جديد. كما يتم إظهار للمستخدم كل Session ومن أي متصفح ونظام وإيبي...
عندها سيضطر المستخدم لتسجيل الدخول عند كل اعادة تشغيل للمتصفح
و كما ذكرت هذا الامر غير عملي
استعمل md5 مع الكوكيز
و اغلق جميع ثغرات xss
و استعمل https
و بإذن الله لن يخترق
الا اذا تم اختراق نضام الضحية
^_^
ال Session إما تستعمل ال Cookies... أو تخزن على الرابط (GET، ليست فكرة جيدة...).
سرقتها يؤدي لنفس الشيء الذي يحدث لو كنت تستعمل ال Cookies بطريقة جيدة.
أو تخزن على الرابط (GET، ليست فكرة جيدة...).
اتعرف اني مرة بالصدفة دخلت لحساب لاعب آخر في احد الالعاب المشهورة (حرب القبائل) السبب ان السيشون كان يخزن في الرابط . لا اعرف لماذا فعلوا ذلك هل لتسريع السكربت أ م اعتبروه إجراء أمني من عندهم .
بالنسبة لسرقة الكوكيز لا اعرف اجراء امني آخؤ يمكن القيام به ماعدا و جود إضافة في متصفح المستخدم ترسل بيانات اضافية للهيدر عبارة عن ID المستخدم . طبعا هذا اجراء الى حد كبير غير عملي و لكنه اكثر أماناً .
technically الsessions عبارة عن cookies وتستطيع ان تغير كل شيء فيها مثل عمر الكوكي الى الاسم الخ !
لا أدري إن كان مصطلح تزوير هو المناسب، لكن أظنك تقصد سرقة الكوكيز
في هذا الحالة هناك إجراءات وقائية كأن تنمع أكواد الجافاسكريبت الخبيثة و تجعل الكوكيز Http Only لتمنع الـXSS..
للمراجعة:
التعليقات