תחרות
- פותח הנושא ילדה בלבן
- פורסם בתאריך
ילדה בלבן, לצערי אתה טועה ומטעה
לפני שאתה קובע נחרצות כי מדובר ב"טמטום אולטימטיבי" וכן כי צריך לאבטח את הדף שמקבל ולא את הטופס ששולח כדאי שתדע כי משמעות הצפנת המידע הינה הצפנת המידע שנרשם ע"י הגולש, כלומר, כבר בעת רישום הפרטים בדפדפן הלקוח וכן כאשר הם נשלחים אל השרת. אי הצפנה של הטופס משמעו שכל המידע שנרשם על ידי הלקוח נשלח לשרת ללא הצפנה ובכך מאפשר לכל מי שרוצה ומסוגל, לצוטט למידע רגיש זה. לכן הדף שמקבל את הנתונים בדפדפן הלקוח (כלומר הטופס) הוא זה שחייב להיות מוצפן וכן הוא זה שחייב לשלוח את המידע המוצפן ולא אחרת! בברכה,
לפני שאתה קובע נחרצות כי מדובר ב"טמטום אולטימטיבי" וכן כי צריך לאבטח את הדף שמקבל ולא את הטופס ששולח כדאי שתדע כי משמעות הצפנת המידע הינה הצפנת המידע שנרשם ע"י הגולש, כלומר, כבר בעת רישום הפרטים בדפדפן הלקוח וכן כאשר הם נשלחים אל השרת. אי הצפנה של הטופס משמעו שכל המידע שנרשם על ידי הלקוח נשלח לשרת ללא הצפנה ובכך מאפשר לכל מי שרוצה ומסוגל, לצוטט למידע רגיש זה. לכן הדף שמקבל את הנתונים בדפדפן הלקוח (כלומר הטופס) הוא זה שחייב להיות מוצפן וכן הוא זה שחייב לשלוח את המידע המוצפן ולא אחרת! בברכה,
ממישהו שמתיימר לדעת
לתחזק שרתים, הייתי מצפה לקצת יותר הבנה באבטחה. כשאני נכנסת לטופס, הוא יורד אליי למחשב, וכל עוד אני לא שולחת אותו, כל מה שאני כותבת בו נשאר אצלי ואף אחד לא יכול לגשת אליו. משמעות ה-SSL היא לאבטח את הנתונים כשהם עוברים ברשת, משמע - כששולחים את הטופס. רוב האתרים מאבטחים גם את הטופס עצמו, כי המשתמש הפשוט לא יודע את מה שכתבתי למעלה, ומצפה לראות את סימן המנעול כדי להרגיש בטוח. אבל מה שחשוב לאבטח הוא הדף שמקבל את הנתונים
לתחזק שרתים, הייתי מצפה לקצת יותר הבנה באבטחה. כשאני נכנסת לטופס, הוא יורד אליי למחשב, וכל עוד אני לא שולחת אותו, כל מה שאני כותבת בו נשאר אצלי ואף אחד לא יכול לגשת אליו. משמעות ה-SSL היא לאבטח את הנתונים כשהם עוברים ברשת, משמע - כששולחים את הטופס. רוב האתרים מאבטחים גם את הטופס עצמו, כי המשתמש הפשוט לא יודע את מה שכתבתי למעלה, ומצפה לראות את סימן המנעול כדי להרגיש בטוח. אבל מה שחשוב לאבטח הוא הדף שמקבל את הנתונים
...
את אמרת נכון מילת המפתח היא כל עוד את לא שולחת אותו ומאחר והמידע הנשלח ע"י השולח נמצא בצד הלקוח ומאחר והאבטחה צריכה להתחיל מיד עם הלחיצה על ה- submit צריך לוודא מבעוד מועד שהוא יהיה מאובטח כדי שבעת השליחה הוא אכן יהיה מאובטח. לפי שיטתך כל הנתונים מועברים ברשת ללא אבטחה עד אשר הם פוגשים את הדף המאובטח שאמור לקבל אותם וזה בהחלט לא תקין. ודבר נוסף, מעולם לא התיימרתי לדעת לתחזק שרתים וחבל שתתפסי להטעיותיו של xyxyxy (שככל הנראה ביני לבינו עבר יגואר שחור ולא חתול) מאחר ומאה פעם כבר אמרתי לו שאני מדבר בשם עצמי ולא בשם SRV אבל הבן אדם פשוט לא קולט. אז ממנו התייאשתי ואני כבר לא מסביר לו עוד, אבל ממך הייתי מצפה שלא תיסחפי אחרי השטויות שהוא פולט. אגב הוא גם לא צודק במה שהוא הראה למטה מאחר והוא לקח חלק קטן מאוד מדף ומנסה להציג אותו כמו שהוא מבין. אם תסתכלי טוב בדף המקורי, כותרת הפרק בה נמצאות תיבות בחירה אלו (שאותה הוא לא הציג מטעמים מובנים, הרי הוא לא רוצה להראות ליצן ועוד בתמונה שהוא מציג) רשום במפורש "...תוכנית אחסון ומסלול תשלום..." וכמו כן רשום בראש הדף את המשפט הבא שלדעתי הוא דיי ברור "... ברכישת דומיין אין אפשרות לחלוקת העלות לתשלומים - עלות הרכישה תבוא בנוסף לעלות האחסון ותצורף לתשלום הראשון..." . הוא פשוט לקח חלק מדף, הבין אותו לא נכון ומנסה להטעות אחרים לחשוב כמוהו והקטע שהוא פשוט לא מצא אפילו את מה שדברת כעניין בעל משמעות עד אשר אני הגבתי.
את אמרת נכון מילת המפתח היא כל עוד את לא שולחת אותו ומאחר והמידע הנשלח ע"י השולח נמצא בצד הלקוח ומאחר והאבטחה צריכה להתחיל מיד עם הלחיצה על ה- submit צריך לוודא מבעוד מועד שהוא יהיה מאובטח כדי שבעת השליחה הוא אכן יהיה מאובטח. לפי שיטתך כל הנתונים מועברים ברשת ללא אבטחה עד אשר הם פוגשים את הדף המאובטח שאמור לקבל אותם וזה בהחלט לא תקין. ודבר נוסף, מעולם לא התיימרתי לדעת לתחזק שרתים וחבל שתתפסי להטעיותיו של xyxyxy (שככל הנראה ביני לבינו עבר יגואר שחור ולא חתול) מאחר ומאה פעם כבר אמרתי לו שאני מדבר בשם עצמי ולא בשם SRV אבל הבן אדם פשוט לא קולט. אז ממנו התייאשתי ואני כבר לא מסביר לו עוד, אבל ממך הייתי מצפה שלא תיסחפי אחרי השטויות שהוא פולט. אגב הוא גם לא צודק במה שהוא הראה למטה מאחר והוא לקח חלק קטן מאוד מדף ומנסה להציג אותו כמו שהוא מבין. אם תסתכלי טוב בדף המקורי, כותרת הפרק בה נמצאות תיבות בחירה אלו (שאותה הוא לא הציג מטעמים מובנים, הרי הוא לא רוצה להראות ליצן ועוד בתמונה שהוא מציג) רשום במפורש "...תוכנית אחסון ומסלול תשלום..." וכמו כן רשום בראש הדף את המשפט הבא שלדעתי הוא דיי ברור "... ברכישת דומיין אין אפשרות לחלוקת העלות לתשלומים - עלות הרכישה תבוא בנוסף לעלות האחסון ותצורף לתשלום הראשון..." . הוא פשוט לקח חלק מדף, הבין אותו לא נכון ומנסה להטעות אחרים לחשוב כמוהו והקטע שהוא פשוט לא מצא אפילו את מה שדברת כעניין בעל משמעות עד אשר אני הגבתי.
את הבעיות שלך עם xy
תשאיר מחוץ לפורום. אבטחת הטופס לא נותנת לנו כלום. ברגע שאתה שולח את הטופס, הנתונים נשלחים בפורטוקול שמצויין ב-action שלו. אם הפרוטוקול הזה לא מאובטח, אז לא עשית כלום. הורדת הטופס אליך למחשב דרך https במקום http לא נותנת לך כלום. אתה, בתור לקוח, רוצה שהנתונים שאתה שולח, שהם בעצם הרגישים, יהיו מאובטחים, ולא אלו שאתה מקבל.
תשאיר מחוץ לפורום. אבטחת הטופס לא נותנת לנו כלום. ברגע שאתה שולח את הטופס, הנתונים נשלחים בפורטוקול שמצויין ב-action שלו. אם הפרוטוקול הזה לא מאובטח, אז לא עשית כלום. הורדת הטופס אליך למחשב דרך https במקום http לא נותנת לך כלום. אתה, בתור לקוח, רוצה שהנתונים שאתה שולח, שהם בעצם הרגישים, יהיו מאובטחים, ולא אלו שאתה מקבל.
וקצת חומר קריאה
http://www.javascript-coder.com/html-form/html-form-tutorial-p4.phtml
http://www.javascript-coder.com/html-form/html-form-tutorial-p4.phtml
What is a Secure Form ? When you submit data using a form, it is sent as 'plain text'. Somebody listening to the network communication can trap the data. In the html forms where very sensitive information (such as credit card number) is supplied, this can turn to be a security risk. In such cases, a secure form is used. There is not much difference in the html code of the form. The difference is in the server configuration and the ACTION URL.A secure form will have its ACTION URL pointing to a URL starting with https:// like this: (from hotmail login page) <form name="passwordform" action="https://lc3.law5.hotmail.passport.com/cgi-bin/dologin" method="POST" target="_top" > In this case, the browser will communicate to the server using SSL(Secure Socket Layer) the data sent will be encrypted.
...
את צודקת באופן חלקי מאחר והמידע שנשלח ע"י דף מאובטח הוא כבר מידע מוצפן. לדעתי יהיה נכון יותר לשים את שני הדפים תחת אבטחה ובכך בעצם נפתרת הדילמה אם כי רצוי שכמה שפחות דפים יעבדו תחת ה- SSL. יכול להיות שזה גם מה ש- SRV רצו לעשות וב- action פשוט הושמטה ה- S מה- HTTP. יחי ההבדל הקטן
)) אגב, לא יודע אם שמעתם אבל גם ל"מוסד" הייתה בעית אבטחה אדירה בעניין ה- SSL ואם בארזים נפלה שלהבת... אני אעיר את תשומת ליבם לכך. בברכה,
את צודקת באופן חלקי מאחר והמידע שנשלח ע"י דף מאובטח הוא כבר מידע מוצפן. לדעתי יהיה נכון יותר לשים את שני הדפים תחת אבטחה ובכך בעצם נפתרת הדילמה אם כי רצוי שכמה שפחות דפים יעבדו תחת ה- SSL. יכול להיות שזה גם מה ש- SRV רצו לעשות וב- action פשוט הושמטה ה- S מה- HTTP. יחי ההבדל הקטן
)) אגב, לא יודע אם שמעתם אבל גם ל"מוסד" הייתה בעית אבטחה אדירה בעניין ה- SSL ואם בארזים נפלה שלהבת... אני אעיר את תשומת ליבם לכך. בברכה,יש בזה הגיון
אם אני למשל שולט על נתב של ספקית אינטרנט ואני רוצה להשיג מס. כ.אשראי של מישהו, אני יכול לפעול בדרך זו: 1. לשים ציטות על הנתב 2. בכל פעם שאני מזהה הידר HTTP שנשלח לכתובת IP כך וכך ומבקש את העמוד של ההזמנה אני שם ציטות על ה-IP 3. אני מפעיל על ה-IP פרוקסי שקוף 4. יש לי בפרוקסי את נתוני כ. האשראי
כאשר 2 הדפים ב-SSL שיטה זו בלתי אפשרית
אם אני למשל שולט על נתב של ספקית אינטרנט ואני רוצה להשיג מס. כ.אשראי של מישהו, אני יכול לפעול בדרך זו: 1. לשים ציטות על הנתב 2. בכל פעם שאני מזהה הידר HTTP שנשלח לכתובת IP כך וכך ומבקש את העמוד של ההזמנה אני שם ציטות על ה-IP 3. אני מפעיל על ה-IP פרוקסי שקוף 4. יש לי בפרוקסי את נתוני כ. האשראי
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.