Veiligheid van cookies

[werocom]

Ik vroeg me af hoe veilig een cookie werkelijk is. Ik werk aan een nieuw project en daarbij gebruik ik php sessies:

<?php session_start(); ?>

Zodra je een pagina bezoekt wordt door php automatisch een cookie aangemaakt, de inhoud van de cookie is bijvoorbeeld: cae994eecd58289574dfa8c628dd62a4. Dit lijkt mij een hexadecimale waarde, is het erg makkelijk om hier informatie uit te halen, bijvoorbeeld gebruikersnamen en/of wachtwoorden?

 

[Johantrax]

De inhoud van een cookie/sessie is exact wat jij erin plaatst.

<?php
$_COOKIE['naam'] = "leesbaar";
$_COOKIE['pwd'] = "wachtwoord";
?>

In dit geval worden deze waardes dus ook zo in het cookie van de gebruiker geplaatst. Wat ook gewoon kan uitgelezen worden.
Meestal worden daarom wachtwoorden en dergelijke in een formaat opgeslaan wat heel wat moeilijker te achterhalen is: een hash.
De waarde die jij als voorbeeld gaf is zo'n hash (een MD5). Een hash is theoretish niet terugdraaibaar, en daardoor is de waarde dus (theoretisch) ook niet achterhaalbaar. Wat er bij een hash gebeurd is dat er met je opgegeven waarde een hele berekinging wordt gedaan. Tijdens die berekening worden er bepaalde gegevens uitgeknipt. Hierdoor kan de oorspronkelijke waarde (theoretisch) niet meer achterhaald worden.

<?php
$_COOKIE['naam'] = "leesbaar";
$_COOKIE['pwd'] = md5("wachtwoord");
?>

 

[werocom]

Oke, dat is mooi. Dan hoef ik iig geen eigen encriptie te schijven

Bedankt