Veilige cookies

Door Mitch X op 04-01-2006 17:25

5.024 views

(1) Iedereen vind het makkelijk als hij/zij niet hoeft in te loggen als je een site bezoekt waarvan je lid bent.
(2) Maar niemand vind het leuk als iemand anders op zijn/haar account gaat lopen prutsen.

Je wilt je bezoekers dus graag helpen met 1, maar 2 is minstens net zo belangrijk.
Vertel ons eens wat JIJ zou doen?

Bert Sinnema

04-01-2006 17:29

ik zou uitloggen zodra ik wist dat er een ander op de desbetreffende pc zou gaan surfen.

of een functie bouwen waarmee je de website kan locken :d.. maargoed uitloggen is net zo makkelijk

PHP erik

04-01-2006 17:32

Cookies met user-id, encrypted password en timestamp (die ook in de DB staat) is toch een goede oplossing?

Onbekende gebruiker

04-01-2006 17:34

Ik zou gewoon voor 1 kiezen. Ik gebruik een BB parser die geen vreemde JavaScript codes toelaat.
Mm. Met cookies heb ik wel een vreemd geval op me site, uitloggen kan ik wel, maar de volgende pagina ben ik weer ingelogt, maar als ik opnieuw op me site komt dan ben ik wel uitgelogt :D

Eris -

04-01-2006 17:36

IP gebruiker
IP in de cookie opslaan gecodeer
Unieke code opslaan in database + cookie (elke login actie nieuw genereren
IP opslaan in database

En als er maar in ding niet klopt

--> kill_login();

Mitch X

04-01-2006 17:38 gewijzigd op 04-01-2006 17:41

Ik heb dmv een userid, encrypted pass en level hier accounts kunnen "misbruiken".
Er zal dus een controle moeten zijn om te zien of het echt het cookie is dat JIJ gemaakt hebt.

Edit: @Eris, als je toch het ip gebruikt ( DYNAMISCH bij sommige providers?! ) kun je net zo goed je sessies in je database regelen.
Dan KAN er niet mee geknoeid worden :)

Sebastiaan schreef op 04.01.2006 17:34
Ik zou gewoon voor 1 kiezen. Ik gebruik een BB parser die geen vreemde JavaScript codes toelaat.

Dat wil niet zeggen dat je geen ander lek hebt.
Dus is het wel degelijk een issue.

Onbekende gebruiker

04-01-2006 17:46

Vraag hoe ze het bij phpfreakz gedaan hebben :p

Jelmer -

04-01-2006 17:47 gewijzigd op 04-01-2006 17:47

Ik heb al eens gedacht aan zoiets, zie hier mijn ontwerp :)

@Sebastiaan: laten we PHPFreakz eens even gaan terroriseren >:)

Frank -

04-01-2006 17:51

Een random code in een cookie en in de database opslaan. In de database tevens het ip-adres opslaan.

Alleen met deze random code en vanaf dit ip-adres kan men inloggen. De unieke code wordt bij iedere login ververst.

Vanaf 1 (bekend!!!) ip-adres binnen 5 minuten meer dan 3 foutieve inlogpogingen? Dan een lock van x minuten. Brute-force hacking gaat dan een eeuwigheid duren, maar blijft altijd mogelijk. Daar doe je niets aan, dat hoort bij de functionaliteit van automatisch inloggen.

Arjan Kapteijn

04-01-2006 17:51

Geef mensen de mogelijkheid bij het inloggen om hun 'inlog' te koppelen aan een ipadres. Geeft sommige gebruikers een net iets hoger gevoel van veiligheid.

Onbekende gebruiker

04-01-2006 17:51 gewijzigd op 04-01-2006 17:51

@jelmer: Goed ideeeeeee :p Ik haat die site echt ze zijn daar zo streng weet je. (hoewel het hier ook ietsje strenger mag ivm de vele dubbelposts)

Reageren

Inloggen om te reageren