Cookies in een inlog systeem

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ventilatiesysteem Productontwikkelaar HBO WO Verwa

Samengevat: Zij bieden flexibele ventilatiematerialen, geluidsdempers, rookgasafvoer producten en industrieslangen. Ben jij een technisch productontwikkelaar? Heb jij ervaring met het ontwikkelen van nieuwe producten? Vaste baan: Technisch Productontwikkelaar HBO WO €3.000 - €4.000 Zij bieden een variëteit aan flexibele ventilatiematerialen, geluiddempers, rookgasafvoer producten, industrieslangen en ventilatieslangen voor de scheepsbouw. Met slimme en innovatieve materialen zorgen wij voor een gezonde en frisse leefomgeving. Deze werkgever is een organisatie die volop in ontwikkeling is met hardwerkende collega's. Dit geeft goede ontwikkelingsmogelijkheden. De branche van dit bedrijf is Techniek en Engineering. Functie: Voor de vacature als Technisch Productontwikkelaar Ede Gld HBO WO ga

Bekijk vacature »

J orii

J orii

28/01/2009 02:07:00
Quote Anchor link
Beste mensen,

een goede avond., :)

ik zie veel topics over "geen username en password in een cookie zetten"

omdat het onveilig is, maar ik zou graag willen weten wat is er dan wel veilig, en ik wil liever niet dat ik zelf en of andere elke keer na een nieuwe sessie, opnieuw moet inloggen, dus dan lijkt voor mij de enige oplossing toch cookies,

en cookies zijn toch alleen uit te lezen vanuit je domein, of vanuit je eigen computer, waarom zou het dan niet veilig zijn een gebruikersnaam er in te zetten ?

groetjes
 
PHP hulp

PHP hulp

22/12/2024 11:56:06
 
PHP Newbie

PHP Newbie

28/01/2009 08:10:00
Quote Anchor link
Gewoon omdat het niet nodig is. Iemand kan zo die cookie stelen en op zijn eigen computer zetten en hij is ingelogd. Zet een unieke code in een cookie danwel in een sessie en koppel dat aan een database record waar je ook het IP in opslaat.
 
Robert Deiman

Robert Deiman

28/01/2009 09:41:00
Quote Anchor link
Wil je het uitgebreider doen, sla dan wel zoals PHP Newbie zegt de unieke code op in een database, en in een sessie dan wel cookie.

Omdat een cookie altijd wel te stelen dan wel te kopiëren is, is dat natuurlijk niet afdoende. Je slaat dus in je database (dat is nodig als je niet elke keer opnieuw in wilt hoeven loggen) naast die code ook het ip op. Daarnaast sla ik ook vaak nog een paar gegevens op in een hash (ook een soort code) waarin bijv, browser, browsertaal e.d. staan. Het moet dan bijna een 1-op-1 kopie zijn qua software/ versies en instellingen (qua taal) en dergelijke voor je eventueel met eenzelfde ip zomaar kan inloggen op een ander systeem. (ik gebruik zelf toch liever geen cookies overigens)

Een username kan je prima opslaan in een cookie, persoonlijk zie ik daar niet heel veel gevaar in, omdat de username toch vaak al vrij eenvoudig te achterhalen is. Tenminste een hacker kan niet veel met alleen de username op zich.
Echter is een code veiliger, waarom: Die code is elke keer weer anders (tenminste als je het goed doet) dan de vorige keer. Die blijft niet altijd hetzelfde. In mijn systeem wordt die code bij elke pageview weer vernieuwd, zodat een hacker ook de meest recente code nodig heeft om iets met die informatie te kunnen. Een username blijft altijd hetzelfde, dus is heel eenvoudig te gebruiken als je een cookie met die username voor een bepaalde website te pakken kan krijgen.
 
J orii

J orii

28/01/2009 11:07:00
Quote Anchor link
Oke dank jullie wel, hier kan ik iets mee :)

nou maak ik tenminste ook is een veilige website :P
 
PHP Newbie

PHP Newbie

28/01/2009 16:35:00
Quote Anchor link
Er zit niet zo gek veel gevaar in het opslaan van een gebruikersnaam in een sessie of cookie, maar die informatie heb je daar helemaal niet nodig.

Iemand kan HTML in zijn cookie stoppen en zo html en javascript uitvoeren op jouw website. Je zult de data uit de cookie dus altijd nog een keer moeten checken terwijl je weet dat de data uit de database betrouwbaar is.
 
J orii

J orii

28/01/2009 16:51:00
Quote Anchor link
ik check zoiezo altijd de input.. :) dus dat maakt (bijmij) niet uit.
 
PHP Newbie

PHP Newbie

28/01/2009 17:14:00
Quote Anchor link
Data die uit een database komt hoef je niet te checken. Daar heb je immers ingezet wat je eruit wilt laten komen. Cookies, Post en Get waarden daarentegen zul je wel moeten controleren. Die controle bedoelde ik :-)
 
J orii

J orii

28/01/2009 17:16:00
Quote Anchor link
maar de input moet wel gecheckt worden, voordat het een database ingaat, of voor het een cookie of een var ingaat, tenminste ik doe het, ik neem namelijk aan dat het verstandig is.. :P
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.