ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comพัฒนาเว็บไซต์Programmingสอบถามเรื่องความปลอดการใช้ cookies ในการ login หน่อยครับ
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: สอบถามเรื่องความปลอดการใช้ cookies ในการ login หน่อยครับ  (อ่าน 2096 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
konkonkan
สมุนแก๊งเสียว
*

พลังน้ำใจ: 37
ออฟไลน์ ออฟไลน์

กระทู้: 520



ดูรายละเอียด
« เมื่อ: 28 มีนาคม 2014, 12:00:43 »

ขอสอบถามหน่อยนะครับ

กรณีที่เราใช้ cookies ในการ login แล้วมันจะสามารถ hack หรือว่า ปลอม หรือ copy ได้ไหมครับ
เช่น ผม login ในเว็บไซต์ แห่งหนึ่ง แล้วกำหนดให้ เข้าระบบไว้ตลอดเวลา แล้วมันเป็นไปได้ว่าคนอื่นๆ สามาระเข้ามาดูค่าของ cookies ของเครื่องมีผมใช้งานอยู่
แล้วเขาก็เอาค่าของ cookies ที่ได้มา เอาไปใช้ เข้าระบบ โดยใช้ cookies ที่ได้จากเครื่องผม

ซึ่งกรณีแบบนี้จะทำให้คนอื่น สามารถ login ด้วย username ของผมได้โดยการใช้ค่าของ cookies ที่ได้จากเครื่องผม

ถ้าเป็นแบบนี้ก็แสดงว่า เว็บไซต์ไม่มีความปลอดภัย และจะมีการป้องกันยังไงครับ
 wanwan017 wanwan017 wanwan017
บันทึกการเข้า

max30012540
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 196
ออฟไลน์ ออฟไลน์

กระทู้: 1,310



ดูรายละเอียด
« ตอบ #1 เมื่อ: 28 มีนาคม 2014, 12:07:59 »

ในเว็บไซต์ที่มีควาปลอดภัยต่ำหลายๆเว็บไซต์ จะฝั่งรหัสผ่านแบบไม่เข้ารหัสลงไปในคุกกี้ครับ ส่วนวิธีการที่แฮกเกอร์ใช้ในการดึงคุกกี้พวกนั้นมา คือการฝังมัลแวร์ หรือสร้างโปรแกรมปลอม ดัดแปลงแก้ไขโปแกรมดังๆ และวิธีการอีกมากมาย รวมถึงที่พลาดได้ง่ายที่สุดคือคอมของเราเองครับ
มันมีโปรแกรมอยู่ครับ จำชื่อไม่ได้แล้ว แต่สามารถดูคุกกี้ทั้งหมด ทุกเว็บไซต์เลยครับ


วิธีป้องกัน คือไม่โหลดโปรแกรมจากแหล่งไม่น่าเชื่อถือ และติดตั้งแอนตี้ไวรัสครับ  Embarrassed
บันทึกการเข้า
konkonkan
สมุนแก๊งเสียว
*

พลังน้ำใจ: 37
ออฟไลน์ ออฟไลน์

กระทู้: 520



ดูรายละเอียด
« ตอบ #2 เมื่อ: 28 มีนาคม 2014, 12:17:17 »

ขอบคุณมากครับ
คืออย่างนี้ครับ ที่ผมต้องการทราบคือ เราจะมีวิธีเขียนระบบ login ของเว็บไซต์อย่างไร ให้ปลอดภัย จากปัญหาดังกล่าวครับ
เพราะถ้าเก็บข้อมูลเป็นแบบ cookies ยังไงก็สามารถเข้ามาดูหรือแก้ไขค่า ได้อยู่แล้วครับ เราจะป้องกันด้วยวิธีไหนดีครับ เพราะให้ระบบเว็บไซต์ของเรามีความปลอดภัยมากขึ้นครับ
บันทึกการเข้า

max30012540
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 196
ออฟไลน์ ออฟไลน์

กระทู้: 1,310



ดูรายละเอียด
« ตอบ #3 เมื่อ: 28 มีนาคม 2014, 12:22:24 »

ขอบคุณมากครับ
คืออย่างนี้ครับ ที่ผมต้องการทราบคือ เราจะมีวิธีเขียนระบบ login ของเว็บไซต์อย่างไร ให้ปลอดภัย จากปัญหาดังกล่าวครับ
เพราะถ้าเก็บข้อมูลเป็นแบบ cookies ยังไงก็สามารถเข้ามาดูหรือแก้ไขค่า ได้อยู่แล้วครับ เราจะป้องกันด้วยวิธีไหนดีครับ เพราะให้ระบบเว็บไซต์ของเรามีความปลอดภัยมากขึ้นครับ
หากไม่อยากแก้ไขมากๆ ก็เข้ารหัสข้อมูลคุกกี้ ให้เฉพาะเว็บเราเท่านั้นที่ถอดออกมาได้ครับ
ถ้าวิธีการมาตรฐานหน่อย คือ การสร้างรหัสขึ้นมา 1 ชุด ไว้ตรวจสอบกับฝั่งเซิฟเวอร์ว่ารหัส 1 ชุดนี้เป็นของ User ไหนครับ
ทั้ง 2 วิธีนี้ยังสามารถปลอมเข้ามา Login ได้ แต่อย่างน้อยๆรหัสผ่านก็ไม่รั่วครับ Tongue
บันทึกการเข้า
gilbert
สมุนแก๊งเสียว
*

พลังน้ำใจ: 587
ออฟไลน์ ออฟไลน์

กระทู้: 713



ดูรายละเอียด
« ตอบ #4 เมื่อ: 28 มีนาคม 2014, 13:45:43 »

ใช้ Session แทนครับ มันจะสร้างไฟล์ไว้ที่ Server หรือว่า Database แทนครับ
บันทึกการเข้า
konkonkan
สมุนแก๊งเสียว
*

พลังน้ำใจ: 37
ออฟไลน์ ออฟไลน์

กระทู้: 520



ดูรายละเอียด
« ตอบ #5 เมื่อ: 31 มีนาคม 2014, 03:50:49 »

ขอบคุณทุกความคิดเห็นครับ
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์