Op het moment werk ik aan een projectje waarbij inloggen nodig is. In een database worden de gegevens van de gebruikers bewaard, een varchar user en een varchar password. Het wachtwoord wordt als md5 opgeslagen.
Nadat je hebt ingelogd wordt je naar een pagina gestuurd met een url als deze:
Let ff niet op het localhost deel
Uid en pwd spreken voor zich. Deze worden gecontroleerd met de database. De 'key' bestaat uit een md5-hash van het ip van de gebruiker, de browserversie en een string. Deze string is altijd gelijk maar bevat alleen pure onzin.
Als de gebruikersnaam en wachtwoord combinatie klopt, en de 'key' klopt met server-side gegenereerde key, krijgt een gebruiker toegang.
Lijkt mij toch redelijk veilig. Het is niet mogelijk om je url aan iemand door te kopieëren (ander ip, dus key klopt niet meer) en je kunt het wachtwoord van de gebruiker zo ook niet raden. Brute-force lijkt me ook redelijk safe.
Vinden jullie dit ook veilig of moet er nog iets aan toe gevoegd worden met koekjes of sessies?
Nadat je hebt ingelogd wordt je naar een pagina gestuurd met een url als deze:
Let ff niet op het localhost deel
.
Uid en pwd spreken voor zich. Deze worden gecontroleerd met de database. De 'key' bestaat uit een md5-hash van het ip van de gebruiker, de browserversie en een string. Deze string is altijd gelijk maar bevat alleen pure onzin.
Als de gebruikersnaam en wachtwoord combinatie klopt, en de 'key' klopt met server-side gegenereerde key, krijgt een gebruiker toegang.
Lijkt mij toch redelijk veilig. Het is niet mogelijk om je url aan iemand door te kopieëren (ander ip, dus key klopt niet meer) en je kunt het wachtwoord van de gebruiker zo ook niet raden. Brute-force lijkt me ook redelijk safe.
Vinden jullie dit ook veilig of moet er nog iets aan toe gevoegd worden met koekjes of sessies?
/u/56680/gurgi.png?f=community)
:strip_exif()/u/70496/glowmouse2.gif?f=community)
:strip_exif()/u/34938/futurama.gif?f=community)
:strip_exif()/u/30814/newgot.gif?f=community)
:strip_exif()/u/59190/54.gif?f=community)