Sikkerhed med Cookie

Jo, den kan kopieres. Men en bruger vil jo næppe lægge
sådan en cookie på sin maskine hvis andre har adgang til den.
Jeg antager du lader brugeren vælge om den skal gemmes med
fx adgangskode - li'som på et site du måske kender: eksperten.dk

hmmmm, ja på eksperten bliver den vel gemt med pass og det hele eller hva???

Jeps, jeg vil lave en funktion så brugerren selvfælgelig selv kan vælge om den skal logge automatisk ind.

Kig selv efter, men jeg mener ikke password er gemt i klar tekst,

hej,,,

#1
cookies er ok, men KUN hvis du bruger dem som en reference til login oplysninger på din server. (det er på serveren, i databasen du holder styr på hvem er logget ind, hvornår, fra hvilket ip ... osv)

#2
det er KUN på serveren du skal holde styr på login oplysninger..... læg ALDRIG nogen form for oplysninger i cookies ... dem kan alle læse !!!

#3
sørg for at feede rand generatoren kun EN gang inden du generer en char[32] vha. uniqid => md5 ....

::::HUSK::::
at lave overvågning af logins, så du kan opdage hacking ....

ahhhhhh, der er rigtig meget du skal tænke på når du skal lave et ordentlig login system ....

du skal følge de "almindelige" regler om at kontrollere alt hvad der kommer ind på serveren igennem dit script .... i PHP4.1 er det blevet meget nemmere !!!

til sidst, du kan ikke forhindre crackers i at bryde ind, men du kan gøre det MEGET besværligt for dem ....
lad dem finde en anden vej, og ikke igennem din PHP kode !!!

held og lykke, og tænk dig godt om !!!!
analyser og test alle cases !!!

d:o))
mvh,
ans

PS: ohhh, jep, jeg er meget træt .. har siddet foran skærmen siden 10:00 !!! men jeg fik også lavet en hel del ....

Hej :o)

Har du hørert om sessions ?? Det er 1000 gange bedrer at bruge sessions . Du kan altid lave snyd med cookies :o)
Men hvis du vilhave et autologin så kan du smække en cookies som inde holder variabel som så activere sessions.

Jeg synes at du skal kigge på sessions, det er ikke sværet at lær tag højst 20 min så kan du lave en helt messe :o)

Øjeblik finder li et par links :o)

http://www.asp.dk/articles.asp?mode=show_article&article_id=100&tech_id=2


http://www.php.net/manual/en/function.session-start.php


Hvis der er problemmer s´å kontakt mig på min icq : 101997896

MvHilsen
Smooth
\WebSteps.dk

>smooth

>>Det er 1000 gange bedrer at bruge sessions .
vrøvl !!!

ja, det er hurtigere at komme i gang, men ALDRIG bedre eller sikrere !!

d:-))
ans

Da sessions bl.a. bruger cookies (om muligt) er diskussionen om sessions er bedre/sikrer end cookies noget ... vrøvl.  Følg ans' råd - der er nogle guldkorn ind imellem.  Det system jeg bruger på http://www.brisse.com/ gør flg.:

1) Når brugeren logger på sættes en crypteret cookie på hans maskinen.  Denne indeholder bl.a. en random token, checksum på denne, bruger navn og lastlogin tid.

2) På hver side (dvs, der er kun en :-) decrypteres cookien - hvis (lastlogintid+delta>nuværende tid) && (checksum==ok) slippes brugeren videre ... hvis ikke, så ryger han tilbage til hovedsiden.

Krypteringen er blowfish med roterende nøgle ...  Virker fint :-)

brilleaben>> kan det ikke sende det til mig hvordan du har lavet det system.... til mis@cadesign.dk

Hmmm, jo, det kan jeg vel.  Skal lige ha' renset dem for overflødigheder :-)    Så det bli'r senere i dag ...

cool, bedre sent end aldrig

hehe - inden vi lige bliver for ivrige ... koden kan ikke bruges medmindre du har adgang til at rekompilere apache/php .. jeg benytter et hjemmeudviklet php-modul ...  Så hvis ikke du har adgang til det så er der ingen grund til at jeg sender koden :-)

ans_dk >>

Grunden til at sessions er bedre end cookies er. At der findes folk som ikke har sat' cookies til. Og så kan du ikke bruge dinne funktioner som kører efter cookies til noget.

SMooth

Jeg har adgang til serveren....