• דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

מזהה express session

מתוזמן נעוץ נעול הועבר תכנות
3 פוסטים 2 כותבים 87 צפיות
    • מהישן לחדש
    • מהחדש לישן
    • הכי הרבה הצבעות
תגובה
  • תגובה כנושא
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • י מנותק
    י מנותק
    יוסף בן שמעון
    כתב ב נערך לאחרונה על ידי
    #1

    בשרת המזהה של הסשן הוא מחרוזת של 32 תווים, והעוגיה בדפדפן היא מחרוזת בת 84 תווים.

    1. מה הקשר ביניהם? האם זו הצפנה \ גיבוב?
    2. האם זה סיכון למסור את מזהה הסשן שרשום במסד לגורם שלישי? האם הוא יכול באמצעות מזהה הסשן לפענח את העוגיה ולהזדהות בשם המשתמש?
    yossizY תגובה 1 תגובה אחרונה
    2
  • yossizY מנותק
    yossizY מנותק
    yossiz
    השיב ליוסף בן שמעון ב נערך לאחרונה על ידי
    #2

    @יוסף-בן-שמעון אמר במזהה express session:

    מה הקשר ביניהם? האם זו הצפנה \ גיבוב?

    לא. מזהה הסשן נמצא שם ב-plain text פלוס חתימה דיגיטלית
    הפורמט של הקוקי הוא:

    s:${sessionID}.${signature}
    

    החתימה נוצרת באמצעות ספרייה זו: https://github.com/tj/node-cookie-signature
    עם ה-secret שאתה נותן ל-express-session

    האם זה סיכון למסור את מזהה הסשן שרשום במסד לגורם שלישי? האם הוא יכול באמצעות מזהה הסשן לפענח את העוגיה ולהזדהות בשם המשתמש?

    אין בעיה שהוא יפענח, הבעיה הוא רק אם הוא יצליח להזדהות עם הסשן, מכיון שיש חתימה דיגיטלית, הבעיה קיימת לכאורה רק אם הוא יכול ליצור חתימה כזו. בלי ה-secret לכאורה זה לא אמור להיות אפשרי

    📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

    י תגובה 1 תגובה אחרונה
    6
  • י מנותק
    י מנותק
    יוסף בן שמעון
    השיב לyossiz ב נערך לאחרונה על ידי
    #3

    @yossiz תודה!

    תגובה 1 תגובה אחרונה
    2

  • התחברות

  • אין לך חשבון עדיין? הרשמה

  • התחברו או הירשמו כדי לחפש.
  • פוסט ראשון
    פוסט אחרון
0
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
  • התחברות

  • אין לך חשבון עדיין? הרשמה

  • התחברו או הירשמו כדי לחפש.