Even een vraagje... ik vraag me iets af. Bij het inloggedeelte van een cms is het dan verstandig om een optie te bieden om gebruikersnaam / wachtwoord op te slaan? In de cms kunnen ook persoonlijke zaken komen te staan zoals jouw persoonlijke adresgegevens, vrije dagen e.d. In ieder geval informatie die niet voor andere collega's zichtbaar mag zijn.
Nu vraag ik me dus af wat wijsheid is:
1) niet de mogelijkheid bieden om gebruikersnaam / wachtwoord op te slaan
2) mogelijkheid bieden om alleen de gebruikersnaam op te slaan. De gebruikersnaam staat dan ingevuld, maar je moet zelf het wachtwoord nog invullen.
3) mogelijkheid bieden om zowel de gebruikersnaam als het wachtwoord op te slaan (je wordt dan automatisch ingelogd)
Optie 1 is het meest veilig maar betekent wel dat je als gebruiker telkens je gebruikersnaam en wachtwoord moet invullen. Optie 3 is het minst veilig, maar wel het meest gemakkelijk (je hoeft dan niks in te vullen).
Ik bedoel daarmee dat je vaak een superuser hebt voor je backoffice, "admin" om maar even te benoemen. Je zult vaak zien dat mensen die superuser (default user) voor al het gebruik gebruiken en dan kun je de gebruikersnaam natuurlijk makkelijk raden.
Inloggen beslaat 2 sleutels, eentje die niet zo lastig is (gebruikersnaam) en eentje die zo lastig mogelijk is (wachtwoord).
Als de gebruikersnaam algemeen bekend is kun je hem net zo goed laten bewaren.
Ozzie ik snap je probleem maar zoals SanThe ook al zegt vragen de "nieuwe" brouwsers
dit ook al of ze het wachtwoord voor deze site mogen/moeten opslaan dus met dat in gedachte kan je best de optie maken van "ingologd blijven" maar dan alleen voor de "admins" niet.....
zoals je zelf ook al zegt....
Maar ik vind het eigenlijk ook wel een beetje van het soort systeem afhankelijk in hoever dit doorgevoerd word bijvoorbeeld:
Voor een "normaal cms systeem" dat alleen tekst voor site enzo kan aanpassen is dit geen probleem, maar als het nu een payroll systeem betreft zou ik bij de "gevoelige" data het wellicht nogmaals aan de gebruiker vragen of hij wel echt de persoon is die ingelogd is...
...met dat in gedachte kan je best de optie maken van "ingologd blijven" maar dan alleen voor de "admins" niet.....
zoals je zelf ook al zegt....
Da's een beetje lastig omdat je op het moment van inloggen niet weet of een "normale" user of een "admin" zich gaat aanmelden :)
Marco PHPJunkie op 09/01/2012 13:19:39
...maar als het nu een payroll systeem betreft zou ik bij de "gevoelige" data het wellicht nogmaals aan de gebruiker vragen of hij wel echt de persoon is die ingelogd is...
Een payroll systeem (nog) niet, maar wel waar persoonlijk informatie in komt te staan. Dus vandaar dat ik het zo veilig mogelijk wil.
Is er trouwens een manier om dat automatisch opslaan van gebruikersnaam en wachtwoord te blokkeren? (Hoe weet de browser dat het om een inlogformulier gaat?)
Je kunt bijvoorbeeld de naam van je formulier velden random maken. Dit opslaan in je sessie en dan laden bij het verwerken van het inloggen.
Hiermee blokkeer je denk ik de wachtwoord onthoud mogelijkheid van de browser. (Tenminste, het wordt onthouden maar kan het niet weer invullen omdat het andere velden zijn)
