Java != Javascript. Als je nog niet gepost hebt, zit je op de client en komt PHP er nog niet bij kijken
Deze draait op de server Zie Crisp (oa) voor een Javascript oplossing; deze kan op de client draaien
Digitaal onderwijsmateriaal, leermateriaal voor hbo
Digitaal onderwijsmateriaal, leermateriaal voor hbo
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
En wat hebben ze daaraan dan? Die verandert toch steeds, ze weten slechts dat voor een bepaalde x het md5 van je wachtwoord y is, dus kunnen ze alleen met y inloggen als x hetzelfde is. Alleen x verandert steeds, dus y ook.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Goed, iets anders uitgelegd.
Daar is ook weer van alles te verzinnen hoor, persoonlijk vind ik het gevaarlijker om je wachtwoorden ongecodeerd in je database te hebben staan, dan om geen key bij je post te hebben. Maar goed, hoe veilig wil je het hebben, het is niet alsof er kernraketten kunnen worden afgevuurd als je in het CMS komtNadeel van bovenstaand schema is dat de server beschikking moet hebben over een ongecodeerd wachtwoord, maar ik laat de manier om dat op te lossen aan jouw creativiteit over
[ Voor 16% gewijzigd door Roa op 14-10-2004 17:03 ]
Research is what I'm doing when I don't know what I'm doing.
euh ja duh, het ging me erom dat ik niet alles voor wilde kauwen, maar helaas heeft crisp de hint al gegeven...
[ Voor 76% gewijzigd door .oisyn op 14-10-2004 17:05 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Mjah, maar je kan ook een hash encrypten:
Roa: hashen != encrypten
en dat was eigenlijk wel de bedoeling volgens mijn verhaal..dacht ik Ohk, goed, ik had de username even weg moeten laten in mijn voorbeeld 
Research is what I'm doing when I don't know what I'm doing.
Thx, allemaal.:
[...]
Goed, iets anders uitgelegd.
Je hebt een inlog script met 2 velden, een username veld en een password veld. Je wilt niet dat mensen je password kunnen onderscheppen, dus je encrypt dit d.m.v. javascript, maar als mensen nu het geëncrypte wachtwoord onderscheppen, kunnen ze nog steeds inloggen, ze kunnen immers de opgevangen data verzenden naar de server, dus wat je wilt is bij iedere POST een uniek iets toevoegen. Wat je dus in feite moet doen is dit:
Als iemand op de login pagina komt, stuur je d.m.v. php ook een hidden veld mee waarin een unieke key staat (een cijfer o.i.d.) Als het formulier vervolgens gesubmit wordt, stop je de username, het password en die key bijelkaar, en je encrypt het. Dan pas verstuur je de data naar je server. In je php script dat de login controleerd doe je hetzelfde, je voegt de username, het password en die key weer samen, en je encrypt dit. Vervolgens vergelijk je die 2 gegevens met elkaar, die zouden overéén moeten komen. Als de verzonden data dus anders was, klopt of het wachtwoord niet, of de username of er zat geen key bij/de key was fout.
Doordat je dus iedere keer een andere key gebruikt (random) kan iemand die die gegevens onderschept er niets mee, want de key is bij iedere aanvraag weer anders en dus kan hij/zij er nog niets mee
edit:
Nou, je zou denken dat het na 4 posts met uitleg toch wel duidelijk moet zijn
[...]
Daar is ook weer van alles te verzinnen hoor, persoonlijk vind ik het gevaarlijker om je wachtwoorden ongecodeerd in je database te hebben staan, dan om geen key bij je post te hebben. Maar goed, hoe veilig wil je het hebben, het is niet alsof er kernraketten kunnen worden afgevuurd als je in het CMS komt
1
2
3
4
5
| <form id="mijnForm"> blabla </form>
in de JS:
document.getElementById('mijnForm').submit(); |
SSL is dan een mogelijkheid of anders Flash.:
Tuurlijk, srry. Zal aan het feit liggen dat ik nu al 13,5 uur aan het werk ben
Toch rest mij een vraag: kan het niet op een andere manier dan met javascript? Wat als de browser nu geen javascript ondersteund?
Dan geef je ze de optie om zonder versleuteling in te loggen; zie bijvoorbeeld http://gathering.tweakers.net/forum/login:
Tuurlijk, srry. Zal aan het feit liggen dat ik nu al 13,5 uur aan het werk ben
Toch rest mij een vraag: kan het niet op een andere manier dan met javascript? Wat als de browser nu geen javascript ondersteund?
Intentionally left blank
Neem dan even pauze en ga morgen weer verder
Dit topic is gesloten.
/u/56680/gurgi.png?f=community)
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/80211/crop625154a54bd09_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
:strip_icc():strip_exif()/u/73645/crop5a60654987871_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
:strip_exif()/u/50656/andre-scholten-avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/90747/vogelklein.jpg?f=community)