Sikkerhed omkring login system
Hvis man ikke har mulighed for at ssl kryptere sin login request til serveren.Hvad kan man så gøre for at gøre sit login system så sikkert så muligt.
Det hjælper vel ikke noget at bruge en md5 checksum.
Giver pt. brugeren en cookie med brugernavn og en 12 cifret auto genereret tekst streng når han logger ind.
brugernavn skal så være = brugernavn og tekststreng = tekststreng før han kan se nogle sider.
( Bruger cookie da jeg er træt at session time out. )
Problem 1.
Når brugeren indtaster sit brugernavn og adgangskode kan det sniffes da det ikke er ssl krypteret.
Problem 2.
Når cookien bliver kaldt fra brugerens maskine og sammenlignet med info i databasen kan cookien blive sniffet da den heller ikke bliver overført via ssl.
Kan man gøre noget ved informationerne der føres frem og tilbage så det ikke er så nemt at opsnappe ud over at bruge sll.
Stener