beveiligingscookie functioneel, of toestemming vragen?
Stel iemand probeert in te loggen op jouw website door op het inlogformulier diverse combinaties van gebruikersnaam en wachtwoord in te typen. Nu kun je op basis van de sessie iemand na 3 keer blokkeren. Echter, als hij een nieuwe browser opent, kan hij weer z'n gang gaan. Nu vraag ik me af, mag je in dit geval zonder toestemming een cookie plaatsen, zodat je de hacker kunt herkennen als hij een andere browser opent?
Valt dit onder de noemen "functionele cookie"? Je kunt toch moeilijk toestemming aan de hacker gaan vragen lijkt me:
"Beste bezoeker... ahum... hacker, wij hebben geconstateerd dat u bezig bent om op illegale wijze onze website binnen te dringen. Graag zouden wij dit gedrag willen voorkomen en daarom willen wij u vragen of wij alsjeblieft een cookie op uw computer mogen plaatsen, zodat wij u in de toekomst gemakkelijk kunnen herkennen en u de toegang kunnen weigeren."
Iets in mij zegt dat die hacker niet direct geneigd zal zijn om op het "OK" knopje te drukken... :(
(P.S. deze manier van beveiligen via een cookie is natuurlijk niet waterdicht, maar daar gaat deze discussie nu niet over)
Gewijzigd op 05/10/2012 09:38:07 door Ozzie PHP
Dan kun je het ook makkelijk controleren, met bijvoorbeeld het aantal inlog pogingen van dat IP adres, zonder dat je een cookie hoeft te plaatsen.
Het is een functionele cookie, maar je slaat wel persoonlijke gegevens op. Dus is een beetje een grijs gebied.
De hacker onderneemt een illegale actie, en jij onderneemt vervolgens een (illegale?) actie om je website te beschermen, namelijk het plaatsen van een cookie. Zou je dan officieel gezien in overtreding zijn vraag ik me af.
Het doet me een beetje denken aan een inbreker die in je huis komt. Tegenwoordig is het wat soepeler geregeld, maar "vroeger" moest je dan maar onder je bed schuilen of heel hard wegrennen en hopen dat het goed afloopt.
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Eddy Erkelens op 05/10/2012 09:57:30:
Waarom een IP-adres opslaan op een apparaat dat zijn eigen IP ook wel weet?
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Dat zeg ik net, en welk apparaat weet welk ip adres?
Ozzie PHP op 05/10/2012 09:37:19:
Nu vraag ik me af, mag je in dit geval zonder toestemming een cookie plaatsen, zodat je de hacker kunt herkennen als hij een andere browser opent?
Andere browser => Ander cookie.
Chris NVT op 05/10/2012 09:59:29:
Dat zeg ik net, en welk apparaat weet welk ip adres?
Eddy Erkelens op 05/10/2012 09:57:30:
Waarom een IP-adres opslaan op een apparaat dat zijn eigen IP ook wel weet?
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Dat zeg ik net, en welk apparaat weet welk ip adres?
Elk apparaat weet zijn eigen IP.
Je kan dan net zo goed iets anders opslaan in de cookie. Het woord 'verkoudheid' of zo. Heeft net zo veel nut.
IP-adres opslaan in een cookie is echt zinloos.
Eddy Erkelens op 05/10/2012 10:23:07:
Elk apparaat weet zijn eigen IP.
Je kan dan net zo goed iets anders opslaan in de cookie. Het woord 'verkoudheid' of zo. Heeft net zo veel nut.
IP-adres opslaan in een cookie is echt zinloos.
Chris NVT op 05/10/2012 09:59:29:
Dat zeg ik net, en welk apparaat weet welk ip adres?
Eddy Erkelens op 05/10/2012 09:57:30:
Waarom een IP-adres opslaan op een apparaat dat zijn eigen IP ook wel weet?
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Sla gewoon het aantal inlogpogingen op in de cookie. Als die meer is dan 3, weigeren.
't is functioneel en een getal (0, 1, 2 of 3) is niets persoonsgebonden, dus toegestaan.
Dat zeg ik net, en welk apparaat weet welk ip adres?
Elk apparaat weet zijn eigen IP.
Je kan dan net zo goed iets anders opslaan in de cookie. Het woord 'verkoudheid' of zo. Heeft net zo veel nut.
IP-adres opslaan in een cookie is echt zinloos.
Als je mijn eerste reply beter gelezen had, had je gezien dat het opslaan van het IP adres in een .txt file zou gebeuren in een temp folder op de webserver. Zodat er niets lokaal op de gebruikers pc weggeschreven hoeft te worden. Dat was mijn eerste insteek.
Daarna gaf Ozzie aan dat hij het niet op IP basis wilde controleren vanwege IP changers, dus was mijn volgende antwoord (net iets voor jou) sla dan alleen het aantal pogingen op in de cookie. Dan is het gewoon een functionele cookie.