het zit namelijk zo. ik wil de gebruiker de mogelijkheid geven om in te loggen. maar nu zat ik met de vraag hoe deze gegevens veilig over het net te verzenden en op te slaan.
ik zou de inlog gegevens via ajax naar php sturen. maar dan moet je dus de username en paswoord aan de GET of POST hangen. hierbij vroeg ik mij af of dit wel veilig is? ik heb zelf geprobeerd met een packettracer de informatie te vinden maar ik kon deze niet terughalen. toch ben ik niet helemaal zeker of dit wel veilig is?
nu zat ik nog met de vraag over het opslaan in de database. hoe kan ik dit het beste doen? en het veiligste? met een passhash of iets anders?
ik weet dat er op het forum wel al wat oplossingen staan maar kan er toch iemand mij toch een beetje vertellen wat nu juist het "beste" oplossing is.
De wachtwoord sla je op in een SHA1 hash, het liefst nog met een stukje zout en het inloggen is pas veilig als je het over een https verbinding laat lopen.
Ben je een bank? Nee? Dan is het gebruik van md5 goed genoeg. Wil je het veiliger gaan doen, dan zul je minimaal met ssl aan de slag moeten gaan.
En vergeet niet dat een zwak wachtwoord altijd een zwak wachtwoord blijft, ook al ga je met een hash aan de slag. Focus bij beveiliging op de zwakste schakel en ga niet aan 1 kant de boel optimaliseren terwijl aan de andere kant de deur wagenwijd open staat. Dat schiet niet op, daarmee zou je jezelf voor de gek houden.
Op een shared hosting account is beveiliging nauwelijks mogelijk, dan is ook een hash niet meer dan een extraatje. De beheerder van de server kan deze namelijk zo weer uitlezen en gaan kraken.
ik heb even gekeken naar SHA1 en md5. blijkbaar doen deze twee "functies" een beetje hetzelfde. maar dit gebeurt toch pas op de server, toch?
moet ik dan niet inzitten met de gegevens die niet zonder "beveiliging" over het netwerk worden verzonden. en bedoel hier eigenlijk mee dat ik via javascript het paswoord reeds beveilig en zonder ssl of https de boel kan versturen.
ik was ook al wel zoiets aan het denken hoor. Maar het komt er dus gewoon op neer dat het eigenlijk niet uitmaakt wat je doet het is toch nooit helemaal veilig.
ik sla mijn paswoorden dus gewoon op via md5 of SH1 en dat is alles wat ik kan doen.
Je kunt met JavaScript client-side het ingevulde wachtwoord met SHA1 of MD5 hashen. Maar als je het echt veilig wilt hebben, moet je maar eens kijken naar https...
het gaat hier niet om zo'n belangrijke gegevens hoor. Maar het is alleen dat het een project is voor school, en je weet uiteraard hoe die leraars kunnen zijn... . dus ik wil maar zeker zijn dat ik zeker geen optie vergeet of niet weet. bedankt voor de info iedereen.
ik denk dat ik trouwens ook het paswoord ga hashen in javascript. lijkt me leuk extraatje als dit niet te moeilijk is.
