Wat je wil...
Wat je wil is een veilige website met een veilige login.
Hoe je je gebruikers ingelogd houdt is niet mijn probleem. Er zijn zoveel meningen als er mensen zijn, dus daar ga ik het niet over hebben.
Er zit echter een heel belangrijk punt tussen voordat je ingelogd bent, en erna: inloggen.
De meeste mensen denken er niet over na ( de meeste mensen hebben zelfs wachtwoorden niet eens gehasht in hun db ), maar als je een flinke website hebt draaien die een gewilde dienst draait, is dit interessant.
Waar heb ik het over!? Over hacken.
In dit geval, over de zogenaamde man-in-the-middle attack. De vervelendste attack die er is. Ik zal uitleggen waarom!
The middle
Onder "the middle" wordt alles verstaan tussen client en server. Je zou zeggen dat dat niets is, maar in feite is het heel veel: internet. Je moet eens weten hoeveel er voor nodig is om een simpele request te maken naar een server vanuit je webbrowser.
The beginning
Ofwel de client :) Daar komt de logindata vandaan.
The end
De server, waar het veilig is als het eenmaal ontvangen is.
The man
Een sneaky vies mannetje met een heel groot vangnet die alles opvangt wat tussen The beginning en The end reist.
Een voorbeeldje...
Het loginformulier op phphulp.nl:
2
3
4
5
6
<input type="hidden" name="login_referer" value="nieuws/">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" name="submit" value="ok">
</form>
Zoals je ziet worden er 4 waarden opgestuurd naar /inloggen/. Die 4 waarden (plain text) worden onderschept door een Man-in-the-middle. In die 4 waarden zit precies (precies!!!) wat iemand nodig heeft om in te loggen.
Klaar.
Man-in-the-middle kan nu inloggen op jouw account.
Balen