Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

member systeem hulp

kickasgamer - 22/10/2007 13:27
PHP ver gevorderde		Ik heb vroeger een ledensysteem gemaakt dat volledig werkte op sessies, maar nu wil ik in de nieuwe versie er voor zorgen de gebruiker ingelogt kan blijven. Maar ik heb ook gehoort dat het niet zo veilig is om login info op te slaan in en cookie. hoe combineer ik dan sessies en cookies, zodat de gebruiker ingelogt kan blijven en alles toch veilig is ?

26 antwoorden

Gesponsorde links

tomie94 - 22/10/2007 13:32
PHP interesse		ik doe het altijd via IP-adres en SESSIES. maar ik wist niet dat het onveilig was met SESSIES en cookies?

kickasgamer - 22/10/2007 13:56
PHP ver gevorderde		het is niet onveilig om ze samen te gebruiken maar het is wel onveilig (of dat heb ik gehoort) om login info direct in een cookie te zetten

Grayen - 22/10/2007 14:07 (laatste wijziging 22/10/2007 14:09)
PHP ver gevorderde		Het is inderdaad onveilig om je login info direct in een cookie als je die cookie vervolgens gebruikt om je sessie mee te aan te maken. Dus bijvoorbeeld: php code - Bekijk de code zonder highlighting - Klap code in session_start(); if (isset($_COOKIE['login'])) { $_SESSION['login'] = $_COOKIE['login']; } session_start(); if (isset($_COOKIE['login'])) { $_SESSION['login'] = $_COOKIE['login']; } is erg onveilig. Want een mogelijke hacker zou dan simpel weg een cookie kunnen maken met de juiste inhoudt en voila ze zijn bijvoorbeeld een admin. Je kunt dan al nagaan wat er dan allemaal kan gaan gebeuren. Je moet dus een soort beveiliging inbouwen om ervoor te zorgen dat ze niet door deze wijze kunnen inloggen op iemands anders account. Dit kun je bijvoorbeeld doen door encryptie (geen hash zoals md5, want die kun je niet meer terug draaien) op de waarde van de cookie uit te voeren. En dan de decryptie functie uitvoeren op de waarde zodra je hem wilt gebruiken.

kickasgamer - 22/10/2007 14:09
PHP ver gevorderde		zou je misschien wat meer uitleg willen geven over dat laatste ?

Grayen - 22/10/2007 14:12
PHP ver gevorderde		Hier zal je waarschijnlijk wel wat aan hebben: http://www.phpf...mp;page=15

Rens - 22/10/2007 14:15
Crew algemeen		Zet een userid in de cookie samen met een hash. http://www.site...&id=85 Pagina: session.php Kijk daar maar eens naar

kickasgamer - 22/10/2007 14:36 (laatste wijziging 22/10/2007 16:22)
PHP ver gevorderde		dushet is wel veilig bv userid + md5 en sha1 gehashed wachtwoord in de cookies te zetten en dan kan ik als de user een andere keer langs komt via een query de DB laten controleren op een ID samen met een wachtwoord hash en als die samen in een rij staan dan is de user terug in gelogt en maak ik een nieuwe sessie aan ? of ebn ik fout aan het denken ? EDIT: ben ik dan just bezig of een fout gedacht van mij ?

Ibrahim - 23/10/2007 00:57
PHP expert		wrm zou je de wachtwoord in de cookie opslaan een userid is genoeg hoor

Stijn - 23/10/2007 01:10
PHP expert		da's makkelijk te hacken Psycho. Stel dat ik lid 23 ben en 1 is beheerder van de site. Dan zet ik me cookie waarde op 1 en het systeem zou me dan herkken als beheerder. Een md5 versie van je wachtwoord opslaan in je cookie is al veiliger.

Rens - 23/10/2007 08:14
Crew algemeen		Sla een hash op in de database en in je cookie. En die hash die laat je vervolgens om de 5 minuten of zo verversen voor een andere hash. Dat is veel veiliger dan een wachtwoord... Er zou in je site maar een ubb hack zitten, zodat je met javascript een pagina kunt aanroepen met als waarde pagina.php?cookie=<cookie_waarde>. Dan kan Mr. H. Acker zo even achter de hash van je wachtwoord komen en dan haalt hij er even een simpele bruteforce overheen en hij heeft je wachtwoord...

kickasgamer - 23/10/2007 16:43
PHP ver gevorderde		en hoe ververs ik dei hash dan iedere keer als een user een pagina van mijn ledensysteem bezoekt een neiuwe hash, en ook een nieuwe cookie aan maken ?

Rens - 24/10/2007 09:27
Crew algemeen		Elke keer een functie aanroepen. Zeker geen nieuwe cookie aanmaken. Gewoon je oude cookie overschrijven...

kickasgamer - 24/10/2007 13:33 (laatste wijziging 24/10/2007 13:35)
PHP ver gevorderde		ok bedankt ik ga dat dan eens proberen te verwerken in mijn code ik zal wel iets laten weten als er problemen of vragen zijn maar jullie zijn al allemaal bedankt EDIT: en met welke functie overschrijf ik een cookie want ik zie op php.net enkel setcookie() staan

Wim - 24/10/2007 13:38 (laatste wijziging 24/10/2007 13:38)
Crew algemeen		stel je werkt met 3 sessies: id, username, password (in md5 dan wel!), dan kan je het als volgt oplossen: - maak een tabel aan: id, userid, username, password, key - maak je sessies aan - voeg de gegevens in de tabel, en genereer een RANDOM key en steek deze in je DB - maak 2 koekjes aan: id en key; geef deze ook de correcte waarde - volgende bezoek: controleer of er sessies zijn; zonee, dan haal je de info uit de db en je steekt deze in je sessions. Verander regelmatig de key! Je kan koekjes trouwens gewoon overschijven met setcookie() hoor

kickasgamer - 24/10/2007 13:43
PHP ver gevorderde		ik zal die werk wijze van jou in men achterhoofd houden, maar zeker bedankt ;)

timmie_loots - 24/10/2007 15:05
PHP gevorderde		Rens schreef: Sla een hash op in de database en in je cookie. En die hash die laat je vervolgens om de 5 minuten of zo verversen voor een andere hash. Dat is veel veiliger dan een wachtwoord... Er zou in je site maar een ubb hack zitten, zodat je met javascript een pagina kunt aanroepen met als waarde pagina.php?cookie=<cookie_waarde>. Dan kan Mr. H. Acker zo even achter de hash van je wachtwoord komen en dan haalt hij er even een simpele bruteforce overheen en hij heeft je wachtwoord... Een XSS hack bedoel je? En je gaat een beetje uit van het slechtste, je scenario kan alleen bij iemand die sowieso al heel slecht bezig is, door slecht te scripten maar ook door een wachtwoord te gebruiken dat een ander niet mag weten. Als je een XSS lek hebt, en je wachtwoord is je grote zorg, betekend dat je eerder al stom bezig was door één wachtwoord op meerdere plekken te gebruiken.

Rens - 24/10/2007 18:28
Crew algemeen		@timmie_loots: kickasgamer schreef: dushet is wel veilig bv userid + md5 en sha1 gehashed wachtwoord in de cookies te zetten Dáárom juist gebruikte ik dat voorbeeld...

timmie_loots - 24/10/2007 18:37 (laatste wijziging 24/10/2007 18:38)
PHP gevorderde		Mijn punt is juist dat daar an sich helemaal niets mis mee is, tenzij je last hebt van een XSS lek en ook nog eens het wachtwoord op meerdere plekken gebruikt dan die website. Uiteindelijk is de kans groter dat iemand een XSS lek misbruikt om toegang tot de website te krijgen op admin-niveau, dan dat iemand het gebruikt om het wachtwoord te verkrijgen, en dat kan net zo goed met jouw manier. Zeker gezien je met een simpele padding (of bij wijze van spreken een aantal keer het wachtwoord aan elkaar geplakt) een lange string kunt maken die uiteindelijk gehasht wordt. Op die manier is de kans namelijk ongelooflijk klein dat, zelfs met bruteforcen, het uiteindelijke wachtwoord te achterhalen is. Jouw manier heeft gewoon een onnodige overhead en is imho daarom niet een handige oplossing.

Rens - 24/10/2007 18:42
Crew algemeen		Hoezo overhead? Elke keer dezelfde cookie en rij in je SQL tabel overschrijven. Dan krijg je geen overhead?

timmie_loots - 24/10/2007 19:12
PHP gevorderde		Dat is ook overhead, performance overhead om precies te zijn ;)

kickasgamer - 24/10/2007 20:09
PHP ver gevorderde		want voor een oplossing raad jij dan aan timmie_loots

Flex1986 - 24/10/2007 20:50
Senior Member		Ik zelf heb een kleine functie gemaakt voor me password protectie. Wat die doet is simpel weg. md5 daarna sha1 dan hou ik een string van 40 tekens over die scramble ik een beetje met substring hierdoor hou ik een string van 60 tekens over. Deze is na mijn idee nooit meer terug te krijgen. Deze wordt opgeslagen in een cookie. Samen met een unieke 15 delige code. Op mijn websites lees ik cookie uit en controleer ik unieke code samen met het ip wat opgeslagen staat. Dit is in mijn ogen veilig genoeg de enigste manier om deze methode te omzeilen is cookie importeren naar een andere computer in hetzelfde netwerk. En aangezien ik gebruikers waarschuw om hun cookies niet opteslaan op openbare plekken dan is dat hun zorg als ze gebanned worden door gedrag van een ander. Hoofdadmin gedeeltes op mijn sites die krijgen trouwens nooit de optie om ingelogd te blijven. Omdat ik dit voor een overbodige kans op hacken is voor zoiets stoms.

kickasgamer - 24/10/2007 21:07
PHP ver gevorderde		zou je me die functie eens willen toe sturen via PM, dat ik deze eens kan bestuderen ik ben nu alle oplosisngen eens op een rijtje aan het zetten en welke mij dna het beste lijkt ga ik proberen

Flex1986 - 24/10/2007 22:11
Senior Member		Zal kijken of ik een aangepaste versie op kan sturen naar. Ben nu nog bezig met een project voor school. Zodra ik die klaar heb pas ik me script misschien even aan. Ligt echt aan de tijd. En wat ik nu gebruik dat stuur ik niet

timmie_loots - 24/10/2007 22:55
PHP gevorderde		Flex1986 schreef: Hoofdadmin gedeeltes op mijn sites die krijgen trouwens nooit de optie om ingelogd te blijven. Omdat ik dit voor een overbodige kans op hacken is voor zoiets stoms. Als we even doorgaan op XSS hacks (overname door niet uitloggen is in dit geval inderdaad niet mogelijk), ook die kunnen overgenomen worden gezien er voor een session ook een cookie aan wordt gemaakt.

kickasgamer - 25/10/2007 16:08
PHP ver gevorderde		Flex1986 schreef: Zal kijken of ik een aangepaste versie op kan sturen naar. Ben nu nog bezig met een project voor school. Zodra ik die klaar heb pas ik me script misschien even aan. Ligt echt aan de tijd. En wat ik nu gebruik dat stuur ik niet nee nee dat begrijp ik, maar as je me iets wilt sturen dat er op lijkt, zodat ik het principe begrijp

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten