/u/67154/crop61cd7a4cd8d80_cropped.png?f=community)
Onderstaand stuk staat in P&W FAQ - Hoe beveilig ik een website?
Stel: user heeft password Piet en username Karel:
Client zegt tegen server: "hoi Karel wil inloggen".
Server zegt tegen client: "da's mooi, je challenge is 14-08-2003-00:51:14:249"
Client trekt MD5 van bijv. "C:14-08-2003-00:51:14:249 U:Piet" en stuurt die over
Server trekt serverside diezelfde hash (hij heeft challenge en PW tenslotte).
Indien de hash serverside dezelfde is als de hash die de client opstuurt: admitted
Mijn vraag alleen hoe moet ik het mij programmeer technisch voorstellen.
Bij het opvragen van het login formulier wordt er gelijk een challenge gegeven
De gebruiker logt in en zijn gebruikersnaam wordt door gegeven naar de server,
zijn password wordt gehashed met de challenge.
Dit wordt op de server gecontroleerd en de sessie wordt gestart.
Klopt dit of zie ik het totaal verkeerd. Ik snap anders niet hoe je het bij een formulier houdt.
Stel: user heeft password Piet en username Karel:
Client zegt tegen server: "hoi Karel wil inloggen".
Server zegt tegen client: "da's mooi, je challenge is 14-08-2003-00:51:14:249"
Client trekt MD5 van bijv. "C:14-08-2003-00:51:14:249 U:Piet" en stuurt die over
Server trekt serverside diezelfde hash (hij heeft challenge en PW tenslotte).
Indien de hash serverside dezelfde is als de hash die de client opstuurt: admitted
Mijn vraag alleen hoe moet ik het mij programmeer technisch voorstellen.
Bij het opvragen van het login formulier wordt er gelijk een challenge gegeven
De gebruiker logt in en zijn gebruikersnaam wordt door gegeven naar de server,
zijn password wordt gehashed met de challenge.
Dit wordt op de server gecontroleerd en de sessie wordt gestart.
Klopt dit of zie ik het totaal verkeerd. Ik snap anders niet hoe je het bij een formulier houdt.
:strip_exif()/u/11775/SoulTaker.gif?f=community)