Hallo iedereen,
Ik ben bezig met een loginscript te maken, en heb volgende mogelijkheden nodig: gewoon kunnen in en uitloggen, een checkbox om de username te onthouden, en een aparte checkbox om het paswoord te kunnen onthouden. Nu zit ik met volgend probleem: ik was van plan om te werken met sessies, en de sessionID te laten opslaan in een cookie. Zoals ik al zei zijn er 2 checkboxes. De gebruiker moet dus eerst een keer inloggen, en daar aanduiden wat hij/zij wil onthouden (dus alleen username, of paswoord) maar wanneer ze een 2e keer inloggen, met de gegevens die zij wensen die onthouden blijven, komt er een onveilige verbinding van de server naar de gebruiker. Met een MITM attack zou iemand in de plaats van de gebruiker de gegevens kunnen gebruiken om in te loggen. Heeft iemand een idee hoe ik dit kan beveiligen? Ik kan niet gewoon met MD5 werken ofzo want met een MITM attack kan de persoon in kwestie gewoon de gecodeerde gegevens gebruiken om in te loggen.
dat snap ik, maar de functie moet er gewoon zijn, de klanten vragen dit... maar https is enkel veilig tussen een gemaakte verbinding.. maar er is dus een sessie, en de server moet dan terug de gegevens brengen naar de login velden. Dan is de verbinding via https niet veilig. Ik dacht eerst aan een soort van challenge response systeem maar hier heb ik hetzelfde probleem...
En hoe moet ie weten wie de inlogger is? IP-nummer onthouden is niet betrouwbaar. Cookies zijn lek. Als men Firefox gebruikt dan is er een nette mogelijkheid om de inloggegevens te bewaren op de client. Andere browsers waarschijnlijk ook, echter IE is weer beperkt in zorgvuldigheid, maar dat is te verwachten.
ja, IP nummer onthouden zou zowieso al niet gaan omwille van dynamische IP's ed...ik moet gewoon een mogelijkheid vinden om die verbinding van de server naar de user terug te beveiligen zonder kans op een MITM
De gebruiker vult alle gegevens in, en kies dmv de 2 checkboxes of hij alleen gebruikersnaam of gebruikersnaam en paswoord wilt opslaan. De gegevens worden verzonden naar de server. Er wordt een browsercheck gedaan $_SERVER['HTTP_USER_AGENT'] om na te gaan welke versie en welk besturingsysteem de gebruiker gebruikt. Er wordt een sessie gemaakt, en de session ID wordt gehashed en in een cookie op de pc van de gebruiker opgeslaan. De gebruiker krijgt een mail met daarin een link om te bevestigen om de gebruikersnaam en evt. het paswoord op te slaan. In de mail zit dus een link, als de gebruiker daar op klikt wordt er eerst weer een browsercheck gedaan om te bepalen of de gebruiker in dezelfde browser zit, en de session ID wordt gecontroleerd en indien dit allemaal klopt, wordt er een cookie op zijn computer gezet met daarin de gegevens die worden ingevuld in het login veld op de site
zou zoiets kunnen?
Niet Bumpen:
Twee of meer keer achter elkaar in een topic posten heet bumpen. Bumpen is pas na 24 uur toegestaan en kan een reden zijn voor de admins en moderators om een topic te sluiten. Gebruik indien nodig de knop om je tekst aan te passen.
De client mag dus niet meerdere computers hebben met verschillende browsers. Een session verloopt als de browser wordt gesloten dus bij opnieuw aanmelden is dat id gewijzigd. Een cookie blijft ten alle tijde lek.
knop om je tekst aan te passen.