کد امنیتی و صفحه کلید مجازی

jhoseini · Aug 24, 2007

به خدا من نمیخام کشش بدم :cry:

خوب شما 2 دقیقه رو این اسکریپت فکر کنید، بعد منو بزارید زیر سوال
گفتم که دلیل عدم استفاده من از سشن شخصیه، به لطف خودتون ببخشید
نمیدونم چی بگم
در مورد اون کد بالا هم، اون $rand که تو html دیده میشه ارزشی نداره، چون خامه، encode نشده، توسط image.php اینکد میشه و یه قسمتش نمایش داده میشه، و بعد از تایید، همینکار با فیلد hidden میشه و با TypedCode مقایسه میشه
اینجا جای بحث نیست، من به قصد افزایش امنیت این کد مثلاً امنیتی این اسکریپت رو گزاشتم، قصد جنجال ندارم

afshinpoor · Aug 24, 2007

ممنون

tabib_m گفت:
برای مثال، ممکنه شما توی یک صفحه ، دو تا فرم نظرسنجی داشته باشی. مثلا اینجا رو ببین. در یک صفحه، دو بار از تصویر امنیتی استفاده شده.
در کل ، فقط یک پیشنهاد بود.
موفق باشید.

سلام . درسته در این صورت نمیشه . برای این کار باید در کجاش تغیییری ایجاد کنم که بشه دوبار استفاده کرد ؟
من هنوز اون صفحه کلید مجازی رو امتحان نکردم . اما همان طور که parsmizban عزیز میگن مشکلی نداره . در مورد تغییر دادن جای دکمه ها در هر بار لود شدن رو اگر کسی اطلاعات داره بده ممنون میشم. اما بازم خودم یه نگاهیش می ندازم .
خیلی ممنون

tabib_m · Aug 24, 2007

منظور من از "نمیخوام کشش بدم" با خودم بود نه با شما! یعنی نمیخوام الکی گیر بدم، ولی خوب بد نیست این مسائل مطرح بشه، شما به دل نگیر

در مورد کد هم ، واقعا شرمنده، هر چند باز هم کارت اشتباهه ولی من حواسم به بقیه ی کد نبود و زود قضاوت کردم، شما به بزرگی خودت ببخش

خوبه، ولی باز هم برای این که بگم اشتباهت کجاس، باید شرح بدم:

خرابکار کافیه request ی که به سمت برنامه ی شما ارسال میکنه، یک request همیشه ثابت باشه!!!
یعنی فرضا اگر نتیجه ی فرمول مذکور در مورد عدد 123456 این باشه : 654321 ، طرف خیلی راحت میتونه با یک بار تست، این مسئله رو در مورد عدد 123456 متوجه بشه (*) ! بعد خیلی راحت توی فیلد hidden مقدار 123456 رو قرار داده و توی فیلد ورودی کد مقدار 654321 رو قرار بده، که در این صورت باز هم کد شما با شکست مواجه میشه!!!

* کافیه آدرس image.php?rand=123456 رو توی مرورگرش بزنه.

امیدوارم منظورم رو متوجه شده باشید.

موفق باشید.

tabib_m · Aug 24, 2007

برای این کار باید در کجاش تغیییری ایجاد کنم که بشه دوبار استفاده کرد ؟

برای مثال، شما میتونی آدرس عکس رو اینجوری کنی:

کد:

image.php?theName=comments

بعد اسم سشنی که قراره ثبت بشه رو به این صورت تعیین کنی:

PHP:

$_SESSION['turning_'.$_GET['theName']]=$turning;

بعد هم توی مقایسه، اینجوری مقایسه کنی:

PHP:

<?php
session_start();
if($_SESSION['turning_comments']==$_POST['turning'])
{
print "Your Code Is Correct";
}
else {
print "Your Code Is Wrong";
}
?>

در این کدها comments یک نمونه بود، کافیه شما به ازای هر باری که میخوای در یک صفحه از این کد استفاده کنی، یک نام (مثل همون comments) برای انتهای آدرس عکس انتخاب کنی، و بعد برای مقایسه، همون اسم رو توی نام سشن به کار ببری.

امیدوارم منظورم رو متوجه شده باشی

موفق باشید.

afshinpoor · Aug 25, 2007

سلام من صفحه کلیدهای parsmizban جان را اجرا کردم جفتش تو همه مرورگرها کار کرد . اما کدهاش خیلی خفن بود . دمش گرم هرکی نوشته !
حالا اگر کسی در زمینه جاوااسکریپت و پی اچ پی اطلاعاتی داره جواب این سوالم رو بده ممنون میشم .
مثلا من یک صفحه login.php دارم . می خوام توش یک لینک باشه که با زدن اون یک حالت popup مانند باز بشه و توش مثلا چندتا دکمه باشه . بازدن هر کدوم از اون دکمه ها value اون دکمه که زده شده بره تو اون تکست صفحه login.php
یکم نوشتم وحشتناک شد . اگر نفهمیدید بگید بیشتر توضیح بدم
حتی شده برای یک دکمه اش رو بگید تا من بقیه دکمه هارو درست کنم . برای همین صفحه کلید می خوام . نمونش هم دوباره میزارم دوستان یه نگاه بندازن تا منظورم رو از خط بالا بفهمند. از tabib_m جان هم درخواست می کنم اگر اطلاعاتی در این زمینه دارن بدن ممنون میشم
http://i17.tinypic.com/4mjxvec.jpg عکسش
https://www.e-gold.com/acct/login.html سایت نمونش