(1) Iedereen vind het makkelijk als hij/zij niet hoeft in te loggen als je een site bezoekt waarvan je lid bent.
(2) Maar niemand vind het leuk als iemand anders op zijn/haar account gaat lopen prutsen.
Je wilt je bezoekers dus graag helpen met 1, maar 2 is minstens net zo belangrijk.
Vertel ons eens wat JIJ zou doen?
Ik heb dit op een pagina staan:
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)
{
header('WWW-Authenticate: Basic realm="blabla"');
header('HTTP/1.0 401 Unauthorized');
exit("N/A");
}
}
Ik kan die pagina zo vaak aanroepen als ik wil, hoef maar 1 keer in te loggen. Geen sessies. Dus of de browser stuurt bij iedere aanvraag die gegevens mee, of op een of andere manier onthoudt de server het.
edit: bij iedere aanvraag geeft de browser deze header mee:
Ik heb dit op een pagina staan:
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_SERVER['PHP_AUTH_PW']!==$pass)
{
header('WWW-Authenticate: Basic realm="blabla"');
header('HTTP/1.0 401 Unauthorized');
exit("N/A");
}
}
Ik kan die pagina zo vaak aanroepen als ik wil, hoef maar 1 keer in te loggen. Geen sessies. Dus of de browser stuurt bij iedere aanvraag die gegevens mee, of op een of andere manier onthoudt de server het.
edit: bij iedere aanvraag geeft de browser deze header mee:
Authorization: Basic amVsbWVyOjA3anZkbDEx
Als het goed is kan je deze inloggegevens opvragen met phpinfo() direct na het inloggen.
Tja..ik heb ook een probleem met inloggen en dan keer op keer opnieuw te moeten inloggen en ik weet nog niet goed waar dit aan ligt.
Heel verhelderend om dit alles te lezen want ik ga beslist door met zoeken in mijn script waar het fout gaat...
Als je blowfish gebruikt, met een geheime string als key, en wat blowfish terug geeft in de cookie zet, dan is het wel veilig.. Afaik is blowfish nog niet gekraakt :)
En het voordeel is dat je ook gewoon weer kan decrypten als je de info uit de cookie nodig hebt...
Het gaat niet om het kraken, maar om het direct overnmen ( lees kopieren ) van iemand anders zijn cookies.
Dan hoef je niets te kraken, je set gewoon je eigen cookie en voila!
In andere woorden: om Mitch te zijn heb je niet zijn denkwijze nodig, alleen zijn uiterlijk.
Je hoeft je alleen maar voor te doen als iemand anders via je koekje. Wachtwoord weten is niet echt van belang.
Je moet dus koekjekaping tegen gaan, dan ben je al aanzienlijk veiliger.
De beste manier is bij mijn weten de manier die Steam e.a. gebruiken. Een soort van signature van je hardware. Onmogelijk te spoofen tenzij je achter dezelfde computer zit. Maar dat is helaas niet mogelijk om te gebruiken via javascript/webbrowsers.
Ik gebruik ook cookies op mijn site, met een paar functies zijn ze goed beveiligt
Als ik de cookie set dan
doe ik dat zo:
ip|tekst
En dat encrypt ik en zet in de cookie
Om uit te lezen
decrypt ik het en kijk of het ip nog het zelfde is.
Ja?
Dan geef ik de inhoud terug anders niet
Maar cookies blijven gevaarlijk.
Omdat ze op de pc zelf staan. en zijn ze dus te manipuleren.
Maarjah er zijn veel methodes, en mijne hoeft niet goed te zijn.
