שמירת login של גולש
השאלה נוגעת לתחום ה ASP ו ASP.Net אני מניח שנתקלתם לא אחת בדילמה "איך לשמור את השם והסיסמה של הגולש באופן זמני, כדי שהוא לא יצטרך להקליד אותם בכל פעם מחדש לפני ביצוע פעולה". או, במילים אחרות, איך ליצור "אזור מאובטח" שהכניסה אליו היא ע"י שם וסיסמה, שמוקלדים רק פעם אחת, כמו בהוטמייל, למשל. אז זהו, שגם אני נתקלתי בדילמה הזו, וכאן בדיוק באתי לבדוק מה ההצעות שלכם. אבל לפני זה, נתחיל עם הרעיונות שחשבתי עליהם (חלק לבד וחלק של אחרים): דבר ראשון, אף פעם לא לשמור את המידע הזמני הזה בצורתו הגולמית: להצפין ולשמור את ההצפנה. אח"כ, לפענח את המוצפן. דבר שני, אפשר לרשום את המידע הזמני במסגרת שדות נסתרים בגוף הדף שמגיע אל המשתמש. אפשרות אחרת: לשתול Cookie, אבל זה לא מדהים, כפי שספרו לי. דבר שלישי: צריך לשמור על ה login רק לזמן מוקצב, שמתאפס החל מסיום הפעולה האחרונה של המשתמש. שמירת ה login נפסקת אם המשתמש מבצע logout ידני. אוקיי, ועכשיו, איך מצפינים: אפשר ליצור מפתח הצפנה זמני, ולשמור אותו על ה DB, כולל חותמת זמן. ההנחה היא שה DB אינו נפרץ. אלגוריתם ההצפנה לא חייב להיות חזק מאוד (דוגמת RSA ונגזרותיו), כי זה בסה"כ מפתח זמני. יכול להיות ש DES משולש יספיק. בכל מקרה, אפשר להחליף את מפתח ההצפנה מדי פעם (או בכל פעולה). הערה נוספת: הטופס של פרטי ה login מאובטח ע"י SSL. אז מה דעתכם? אולי כדאי שכל ה"אזור המאובטח" יהיה במסגרת SSL ?
השאלה נוגעת לתחום ה ASP ו ASP.Net אני מניח שנתקלתם לא אחת בדילמה "איך לשמור את השם והסיסמה של הגולש באופן זמני, כדי שהוא לא יצטרך להקליד אותם בכל פעם מחדש לפני ביצוע פעולה". או, במילים אחרות, איך ליצור "אזור מאובטח" שהכניסה אליו היא ע"י שם וסיסמה, שמוקלדים רק פעם אחת, כמו בהוטמייל, למשל. אז זהו, שגם אני נתקלתי בדילמה הזו, וכאן בדיוק באתי לבדוק מה ההצעות שלכם. אבל לפני זה, נתחיל עם הרעיונות שחשבתי עליהם (חלק לבד וחלק של אחרים): דבר ראשון, אף פעם לא לשמור את המידע הזמני הזה בצורתו הגולמית: להצפין ולשמור את ההצפנה. אח"כ, לפענח את המוצפן. דבר שני, אפשר לרשום את המידע הזמני במסגרת שדות נסתרים בגוף הדף שמגיע אל המשתמש. אפשרות אחרת: לשתול Cookie, אבל זה לא מדהים, כפי שספרו לי. דבר שלישי: צריך לשמור על ה login רק לזמן מוקצב, שמתאפס החל מסיום הפעולה האחרונה של המשתמש. שמירת ה login נפסקת אם המשתמש מבצע logout ידני. אוקיי, ועכשיו, איך מצפינים: אפשר ליצור מפתח הצפנה זמני, ולשמור אותו על ה DB, כולל חותמת זמן. ההנחה היא שה DB אינו נפרץ. אלגוריתם ההצפנה לא חייב להיות חזק מאוד (דוגמת RSA ונגזרותיו), כי זה בסה"כ מפתח זמני. יכול להיות ש DES משולש יספיק. בכל מקרה, אפשר להחליף את מפתח ההצפנה מדי פעם (או בכל פעולה). הערה נוספת: הטופס של פרטי ה login מאובטח ע"י SSL. אז מה דעתכם? אולי כדאי שכל ה"אזור המאובטח" יהיה במסגרת SSL ?