session hijacking,, wat houdt dit in?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

C++ Developer

Functieomschrijving Ben jij als software engineer toe aan een nieuwe uitdaging? Dan zijn wij op zoek naar jou! Voor het maken van de procesbesturingsoftware gebruiken onze projectteams een in C++ en C# geschreven tool. Dit is een gedistribueerd object framework wat alle kernfuncties biedt voor een procesautomatisering. Verder zullen jouw werkzaamheden o.a. bestaan uit: Analyseren van vragen en wensen van gebruikers en deze vertalen naar een functioneel ontwerp; Ontwerpen, programmeren en testen van productaanpassingen; Implementeren van nieuwe productreleases in de projectteams; Continu toetsen van het effect van nieuwe releases op andere tools en processen; Inzichtelijk maken van voortgang omtrent softwarewerkzaamheden,

Bekijk vacature »

Low-Code Expert/Developer: Power Platform Speciali

Bedrijfsomschrijving Als Low-Code Expert/Developer bij ons innovatieve bedrijf, neem je een cruciale rol op je in de creatie, ondersteuning en implementatie van diverse oplossingen met behulp van het veelzijdige Power Platform. Dit platform omvat Power Apps, Power BI, Power Automate, Power Virtual Agent en Azure Logic Apps. Het Power Platform biedt je de mogelijkheid om klanten te voorzien van naadloze integraties door op maat gemaakte oplossingen te creëren die compatibel zijn met (bijna) alle bestaande software-infrastructuren. Dankzij het uitgebreide scala aan toepassingen, krijg je de kans om als architect en projectleider van je eigen oplossing te fungeren. Dompel jezelf onder

Bekijk vacature »

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collega’s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »

Full stack Javascript ontwikkelaar

Functie Benieuwd hoe jouw dag eruit ziet? Je komt binnen rond een uur of 10 en dat start je met de morning call. Dit doen we vanaf het hoofdkantoor of op het lab, ligt eraan welk project je mee bezig bent. Na de call en het verdelen van de tickets ga je met je team aan de slag. Rond een uur of 12 is er een goede lunch en ga je smiddags weer lekker door met je werk. De ene keer maak jij een game voor een groot merk om de interactie tussen product en eindgebruiker te vergroten. De andere

Bekijk vacature »

Software Programmeur PHP

Functie Wij zijn op zoek naar een PHP programmeur voor een leuke opdrachtgever in omgeving Alblasserdam. Heb jij altijd al willen werken bij een bedrijf dat veilige netwerkverbindingen levert door middel van veilige oplossingen? Lees dan snel verder. Hoe kan jouw dag er straks uitzien? Je gaat software en webapplicaties ontwikkelen met behulp van de talen C / C++ / PHP. Je gaat technische klussen uitvoeren op locatie bij klanten. Je onderhoudt contact met de projectleider om er zeker van te zijn dat een projecten goed verlopen. Je gaat klanten ondersteunen op het gebied van geleverde software en webapplicaties. Tevens

Bekijk vacature »

Fullstack developer - medior

Functie omschrijving Ben jij toe aan een nieuwe uitdaging en zou jij graag bij een platte maar informele organisatie willen werken? Voor een mooi softwarebedrijf in omgeving Ridderkerk zijn wij op zoek naar versterking voor op de afdeling Software Development! Als Fullstack developer wordt je bij dit bedrijf onderdeel van de volledige ontwikkeling van requirement tot oplevering! Werkzaamheden Jouw focus ligt op de front end en alles wat daarbij komt kijken. Je gaat ontwerpen, ontwikkelen, testen en valideren. Je zult voornamelijk werken met React.js en Typescript. Maar ook Javascript, HTML en CSS komen aanbod. Daarnaast zal je ook regelmatig met

Bekijk vacature »

Ontwikkelaar Identity & Access Management

Dit ga je doen Als Identity & Access Management Ontwikkelaar zorg jij er voor dat studenten, medewerkers en docenten de juiste benodigdheden op het juiste moment kunnen gebruiken; Het juist opslaan van onderzoeksdata en het openbaar beschikbaar stellen van publicaties (Open Access); Studenten, collega's en wetenschappers ondersteunen; Agile en Scrum werken; Technisch Applicatiebeheer; Ontwikkelen in One Identity Manager en VB.NET. Hier ga je werken Als Ontwikkelaar kom je terecht in een hecht team die zich richt op wetenschappelijke informatie en ICT. Jij bent degene die er voor zorgt dat alle informatie, uit diverse onderzoeken, bij de juiste personen terecht komt.

Bekijk vacature »

Senior Software developer PHP

Functie Jij als senior PHP ontwikkelaar komt te werken in 1 van onze SCRUM teams. Momenteel werken er zo’n 30 developers binnen onze organisatie Jij gaat de brug zijn tussen het bouwen van verschillende functionaliteiten binnen onze applicaties en deze vervolgens te integreren in onze centrale hub. Je start je dag om 9 uur met een stand up en dan pak je je taken op voor de dag. Een greep van jouw taken zijn: – Het bedenken en uitbouwen van features binnen de verschillende applicaties – Onderhouden van CI/CD pipelines – Bezighouden met Security & Privacy Eisen • Minimaal 4

Bekijk vacature »

Front-end Developer

Gezellige team, passie en een groene toekomst! Lees hier de vacature van Front-end Developer bij All in Power! All in power heeft zich tot doel gesteld écht bij te dragen aan de energietransitie. Dit doen wij door de markt voor energie volledig op zijn kop te zetten. Producenten van schone (wind- of zonne-)energie verkopen via ons platform hun energie rechtstreeks aan gebruikers. Of dit nu huishoudens, bedrijven of bijvoorbeeld laadpalen zijn ons platform maakt het uitwisselen van energie mogelijk. Zo maken we de business case van onze klanten veel sterker en loont het om (meer) te investeren in vergroening voor

Bekijk vacature »

Senior Full Stack developer

Bedrijfsomschrijving tbd Functieomschrijving Full Stack Java Development bij Randstad Groep Nederland (HQ) Er is een vacature in het Corporate Client Solutions (CCS) team. Dit team is met een ander team net begonnen aan het project ‘Grip op Inhuur’. Het doel van dit project is de tevredenheid van onze leveranciers te verhogen en de efficiëntie van onze administratie te verbeteren. Onderdeel daarvan is een ‘Mijn-omgeving’ voor ZZP’ers en leveranciers. Naast dit nieuwe project werkt het team ook aan het onderhoud en verbeteren van een digitaal vacature management systeem waarmee dagelijks vele vacatures worden voorzien. Het team ontwikkelt zo veel mogelijk zelf

Bekijk vacature »

Medior Java developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Senior SQR Java Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Eindhoven Vacature ID: 13333 Introductie Are you passionate about contributing to the world's most advanced machines. Do you thrive in a challenging environment working with highly motivated and skilled teams? If so, we have the perfect opportunity for you! We are seeking a Senior Software Design Engineer for Sequence Tooling to play a critical role in creating and maintaining mission-critical software applications. In this role, you will focus on achieving maintainable software architecture that is transparent and easy to extend while maintaining a strong focus on software quality. You will work closely with

Bekijk vacature »

.NET Developer

Functie omschrijving Jij gaat in de functie van Software Developer werken met C# en .NET framework. Jij gaat maatwerk software ontwikkelen en softwareoplossingen creëren. Daarnaast optimaliseer je de bestaande software. Oplossingen waar de klant echt iets aan heeft, jij krijgt er energie van op dit te realiseren. Je gaat werken in een Microsoft omgeving(ASP.NET) en gebruikt daarnaast C# en MVC. Samen met het huidige IT team binnen deze organisatie verwerk je de wensen van de klant tot een (eind)product. Bedrijfsprofiel Je komt te werken in een klein team van developers, die zich voornamelijk bezighouden met back-end development. Verder staat dit

Bekijk vacature »

Senior Front-end Developer

Sogeti is een organisatie met een goede werksfeer en zo min mogelijk hiërarchische verhoudingen. Ga je bij ons als Senior Front-end Developer aan de slag? Dan werk je dagelijks met collega’s aan de mooiste IT-projecten. Deze snelgroeiende groep collega’s krijgt energie van hun vak en dat merk je op de werkvloer. Onze klantenkring is groot en divers, dat vraagt om flexibiliteit van jou. Tegelijkertijd betekent dit dagelijks nieuwe dingen leren én dat geen werkdag hetzelfde is. Natuurlijk krijg jij de mogelijkheid je te certificeren. We organiseren regelmatig technische Meet-ups en doen we veel aan kennisdeling waarbij iedereen welkom is, zowel

Bekijk vacature »

Infrastructure Developer

Vacature details Vakgebied: Software/IT Opleiding: Senior Werklocatie: Eindhoven Vacature ID: 12945 Introductie Our client is one of the most innovative companies within the Netherlands. Currently we are looking for an Infrastructure Platform Engineer. Within this role you will be developing the infrastructure. Functieomschrijving Within this role you are responsible in the development of our distributed data and compute platform infrastructure. You will design, develop and implement new features and fixes. Next to this you will integrate and configurate other packages that supports the development of tuning applications within the organisation. You will support customer sites remotely. Design and implement the

Bekijk vacature »

Pagina: « vorige 1 2 3 4 volgende »

Chris PHP

Chris PHP

08/10/2012 10:18:28
Quote Anchor link
Ozzie PHP op 08/10/2012 10:12:40:
Dat zou mooi zijn inderdaad. Ik heb alleen geen flauw idee of zoiets technisch mogelijk is.


Dat kan zeker, want jou porvider/host beheerd namelijk zijn eigen DHCP servers. En die kunnen jou gewoon een fixed IP geven. Meeste zakelijke abbonementen van KPN, UPC, Ziggo en xs4all zijn al fixed.
 
PHP hulp

PHP hulp

23/12/2024 00:33:55
 
Ozzie PHP

Ozzie PHP

08/10/2012 10:28:05
Quote Anchor link
Ah oké. En kan dat op een mobieltje dan ook?
 
Chris PHP

Chris PHP

08/10/2012 10:59:43
Quote Anchor link
Ozzie PHP op 08/10/2012 10:28:05:
Ah oké. En kan dat op een mobieltje dan ook?


Ja, jou provider beheerd ook de IPadressen van je telefoon. Nu staan ze dynamisch, dus telkens als je op een andere mast, accespoint, etc komt krijg je dus een nieuw ip en een nieuwe DHCP lease.
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:03:07
Quote Anchor link
oké
 
Chris PHP

Chris PHP

08/10/2012 11:10:48
Quote Anchor link
Maar om even verder te gaan over het sessie hjack verhaal :D

Je kunt natuurlijk ook gewoon een 'functionele' cookie maken, waar je een random id in zet die aangemaakt wordt tijdens het inloggen. Dan kun je kijken of de sessie-id en dat random id (los van je sessie cookie) matchen.

Dit soort cookies mag je plaatsen, en kun je zien of het nog om het zelfde 'apparaat' gaat. Dan sla je beide op in je database tijdens het inloggen, en bij het uitloggen delete je de entry.
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:13:58
Quote Anchor link
Klinkt goed!
 
- SanThe -

- SanThe -

08/10/2012 11:29:07
Quote Anchor link
Ik heb ooit iets vergelijkbaar met het verhaal van Chris gemaakt en dat werkt perfect. Het is getest op sessionhijacking en het stuurt dan direct een mailtje naar de webmaster. Uiteraard wordt de hacker uitgesloten.

Werkt ook op mobieltjes.
Gewijzigd op 08/10/2012 11:30:43 door - SanThe -
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:31:33
Quote Anchor link
Werkt dat op basis van een cookie?
Gewijzigd op 08/10/2012 11:32:02 door Ozzie PHP
 
- SanThe -

- SanThe -

08/10/2012 11:33:13
Quote Anchor link
Ja, er wordt een functioneel cookie geplaatst bij de bezoeker.
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:37:29
Quote Anchor link
oké...

Maar stel dat de bezoeker geen cookies accepteert, dan werkt het dus niet? Betekent dit dat iemand zonder cookies niet kan inloggen?
 
Mik PHP

Mik PHP

08/10/2012 11:41:21
Quote Anchor link
Nu word ik toch ook wel erg nieuwsgierig of mijn manier veilig is.

Wat er bij mij gebeurt als je inlogt:

Dit sla je op in SESSIONS:

user_id
hashkey

de hashkey word zo gesalt:

substr(0, -3, md5(sha1(ip . uniqid())));

Het uniqid() word ook in de database gegooid in de tabel leden zodat je die altijd weer kan vergelijken.

En dit betekend dat als het ip adres anders is je er ook niet in komt.

Als je onthouden wilt worden word hetzelfde gedaan in de cookie.

Is dit veilig? Of raad iemand mij een andere manier aan?

Groetjes,

Mik
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:47:31
Quote Anchor link
Dan kom ik even terug op het voorbeeld van een mobieltje in de trein. In jouw geval wordt (volgens mij) iemand dan continue uitgelogd.
 
Chris PHP

Chris PHP

08/10/2012 11:47:42
Quote Anchor link
Ozzie,

Ja als mensen helemaal geen cookies willen accepteren wordt het natuurlijk lastiger. Dan kun je het besluit maken om een melding te geven dat de gebruiker geen cookies toestaat. In ivm de veiligheid hij dan niet toegestaan wordt om in te loggen.

@Mike,

Het is 'veilig' alleen net wat al is aangegeven, zal dit veel problemen geven met mobiele apparaten aangezien het IP adres daar veel van wisselt.
 
- SanThe -

- SanThe -

08/10/2012 11:51:30
Quote Anchor link
Ozzie PHP op 08/10/2012 11:37:29:
oké...

Maar stel dat de bezoeker geen cookies accepteert, dan werkt het dus niet? Betekent dit dat iemand zonder cookies niet kan inloggen?


Klopt. dan kan ie niet inloggen.
 
Ozzie PHP

Ozzie PHP

08/10/2012 11:52:11
Quote Anchor link
Okeej, gewoon cookies verplichten dus :)
 
Mik PHP

Mik PHP

08/10/2012 11:53:15
Quote Anchor link
Chris NVT op 08/10/2012 11:47:42:
Ozzie,

Ja als mensen helemaal geen cookies willen accepteren wordt het natuurlijk lastiger. Dan kun je het besluit maken om een melding te geven dat de gebruiker geen cookies toestaat. In ivm de veiligheid hij dan niet toegestaan wordt om in te loggen.

@Mike,

Het is 'veilig' alleen net wat al is aangegeven, zal dit veel problemen geven met mobiele apparaten aangezien het IP adres daar veel van wisselt.

Ja ik heb het inderdaad getest op een mobiel en het werkte niet. Gelukkig is de website waarvoor het gebruikt word niet voor de mobiel.

Maar ik ben blij om te horen dat het een veilig manier van storen is.
 
Chris PHP

Chris PHP

08/10/2012 11:54:36
Quote Anchor link
Ozzie PHP op 08/10/2012 11:52:11:
Okeej, gewoon cookies verplichten dus :)


Dit lijkt me wel, je doet het immers voor je bezoekers en niet voor je eigen!

Toevoeging op 08/10/2012 11:55:39:

Mik tH op 08/10/2012 11:53:15:
Chris NVT op 08/10/2012 11:47:42:
Ozzie,

Ja als mensen helemaal geen cookies willen accepteren wordt het natuurlijk lastiger. Dan kun je het besluit maken om een melding te geven dat de gebruiker geen cookies toestaat. In ivm de veiligheid hij dan niet toegestaan wordt om in te loggen.

@Mike,

Het is 'veilig' alleen net wat al is aangegeven, zal dit veel problemen geven met mobiele apparaten aangezien het IP adres daar veel van wisselt.

Ja ik heb het inderdaad getest op een mobiel en het werkte niet. Gelukkig is de website waarvoor het gebruikt word niet voor de mobiel.

Maar ik ben blij om te horen dat het een veilig manier van storen is.


Ja alleen nu verplicht je de bezoekers om altijd een pc voor de site te gebruiken, en dus nooit via hun mobiel kunnen werken. Kijk eens naar de cookie oplossing, je hoeft hier geen toestemming voor te vragen want het is een functionele cookie.
 
Ward van der Put
Moderator

Ward van der Put

08/10/2012 12:00:56
Quote Anchor link
Achteraf een zwak hashalgoritme zoals md5() toepassen op een langere sha1()-hash heeft niet veel zin, omdat je het aantal mogelijke combinaties drastisch vermindert. Met andere woorden: je benut de sterkte van sha1() niet.

Je kunt ook een variant van secret/private key encryption gebruiken, in een vereenvoudigd voorbeeld:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
<?php
// Geheime sleutel
define('SECRET_KEY', 'JHNIRxywSjFTKv5bsGjPchzxekuvdZuj2XvduLf');
// Hash van (openbaar) IP-adres plus (verborgen) geheime sleutel
$hashkey = sha1($_SERVER['REMOTE_ADDR'] . SECRET_KEY);
?>


Alleen PHP-applicaties die de geheime sleutel in de constante SECRET_KEY kennen, kunnen daarmee op basis van het IP-adres een geldige sleutel reproduceren.
 
Chris PHP

Chris PHP

08/10/2012 12:05:11
Quote Anchor link
Ward van der Put op 08/10/2012 12:00:56:
Achteraf een zwak hashalgoritme zoals md5() toepassen op een langere sha1()-hash heeft niet veel zin, omdat je het aantal mogelijke combinaties drastisch vermindert. Met andere woorden: je benut de sterkte van sha1() niet.

Je kunt ook een variant van secret/private key encryption gebruiken, in een vereenvoudigd voorbeeld:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
<?php
// Geheime sleutel
define('SECRET_KEY', 'JHNIRxywSjFTKv5bsGjPchzxekuvdZuj2XvduLf');
// Hash van (openbaar) IP-adres plus (verborgen) geheime sleutel
$hashkey = sha1($_SERVER['REMOTE_ADDR'] . SECRET_KEY);
?>


Alleen PHP-applicaties die de geheime sleutel in de constante SECRET_KEY kennen, kunnen daarmee op basis van het IP-adres een geldige sleutel reproduceren.


Ook dit zal problemen opleveren met mobiele apparaten.
 
Mik PHP

Mik PHP

08/10/2012 12:38:36
Quote Anchor link
Zend de browser niet een unieke waarde mee naar de client? Bijvoorbeeld een id van de browser of iets in die richting. Iets dat niet telkens kan veranderen.
 

Pagina: « vorige 1 2 3 4 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.