Mijn eerste vraag gaat over cookies, als ik een cookie plaats voor het inloggen dan doe ik dit met een hash en de gebruikersnaam, nu zou ik daar iets aan willen toevoegen functie zodat ik die niet telkens bij het openen van een pagina moet laden, maar ik vraag me af of iemand die functie dan kan wijzigen om zo bepaalde persmissies te krijgen die hij/zij eigenlijk niet mag hebben.
Als je site vatbaar is voor XSS dan zou je adhv buitgemaakte cookies een voorselectie kunnen maken van interessante gebruikers. Je geeft (mogelijk) meer informatie bloot dan strict noodzakelijk.
Zoals ik al zei, het is in principe niet meer of minder veilig, het lijkt mij vooral overbodig.
Complexiteit in je applicatie kan deze onveiliger maken, je zou dus moeten streven naar een zo simpel mogelijke oplossing. De kunst van het weglaten, zeg maar.
Als je een functionaliteit wilt hebben waarbij je iemand op een of andere manier weer automatisch inlogt dan zul je deze gebruiker op een of andere manier (en volgens een in enige mate veilig principe) moeten identificeren. Maar dat betekent niet dat je er hoe dan ook bij moet vertellen wie dit is.
Je wilt waarschijnlijk ook zo min mogelijk controle (van identificeerbare elementen) aan de clientzijde aanbrengen. Dit is mogelijk een van de weinige plaatsen waar een zekere mate van "security-through-obscurity" geoorloofd is denk ik. Geef gewoon niet meer informatie prijs dan strict noodzakelijk, dat lijkt mij geen slecht principe.
Tevens: tis maar net wat je met deze cookies kan, als het is om een profiel te hebben waarmee je wat voorkeuren kan opslaan: I couldn't care less, maar als je hiermee toegang hebt tot de beheerpagina's van een CMS of andere complexe backend... No way dat je dan een user id in een cookie gaat opslaan...
Misschien is het meer een gevoelskwestie maar ik heb zoiets van: complexer dan strict noodzakelijk, niet nodig, weglaten.
