Login Ip controle
Ik ben bezig met het maken van een login systeem. Nu word er vaak (ook op dit forum) aanbevolen het IP op te slaan in een session en dan te checken of deze nog gelijk is aan het eigen IP. Nu is het zo dat als een gebruiker met het web verbonden is dmv een 3G verbinding deze bij elke refresh een ander IP krijgt. Dan is het dus niet mogelijk in te loggen. Hoe is het mogelijk om ook deze gebruikers toegang te geven?
Vergeet gewoon dat opslaan van het ip-adres of sla het op ter registratie maar hang er geen login/beveiliging aan op want ip adressen kunnen teveel veranderen. Ga maar na, iemand kan inloggen op zijn smartphone, op zijn werk, thuis, op school, diverse vrije wifi in de stad zoals mcDonalds. Zorg gewoon voor een degelijke username/password beveiliging.
Ip word ook niet opgeslagen bij registratie maar bij het inloggen. En wat is een degelijke username/password beveiliging?
fatsoenlijke encryptie, geen 'normale' md5/plain
Matthijs Vos op 21/11/2012 19:03:36:
Opslaan, prima ter informatie bedoel ik met het woordje registratie. Er zijn hier en elders op het wel diverse goeie login scripts te vinden. Zie ook het advies van Jaron. Je geeft als beroep Webdesigner / webdeveloper dus ik vertrouw erop dat je nu voldoende informatie hebt?Ip word ook niet opgeslagen bij registratie maar bij het inloggen. En wat is een degelijke username/password beveiliging?
Gewijzigd op 21/11/2012 19:09:42 door John D
Opzich heb ik hier genoeg informatie aan. Het enige waar ik al een tijdje mee in mijn hoofd zit, als je een password en username gaat encrypten dan stuur je hem eerst plain over de lijn aangezien dat server-side gebeurd. Is hier ook nog een oplossing voor? Of is dat niet 'gevaarlijk'
Gewijzigd op 21/11/2012 19:15:27 door - Ariën -
Matthijs Vos op 21/11/2012 19:12:56:
Een gebruiker stuurt altijd een password en username over de lijn. Ik snap niet wat je bedoeld met aangezien dat server-side gebeurd?? Je kan zoals Aar aangeeft ssl gaan werken. Je hebt dan een certificaat nodig dat de ssl waarborgt. Username en password gaan dan versleuteld over de lijn. Deze methode is van belang voor systemen waarmee je geldzaken doet. Voor andere meer simpele zaken zoals fora, rpg's, andere games, cms'en en dergelijke is het minder van belang.Opzich heb ik hier genoeg informatie aan. Het enige waar ik al een tijdje mee in mijn hoofd zit, als je een password en username gaat encrypten dan stuur je hem eerst plain over de lijn aangezien dat server-side gebeurd. Is hier ook nog een oplossing voor? Of is dat niet 'gevaarlijk'