Wachtwoord mee in sessie?

[Niellles]

Is het aan te raden om het volgende:

$_SESSION['id'] = $res['id'];
$_SESSION['isloggedin'] = 'true';
$_SESSION['isadmin'] = $res['isadmin']

te gebruiken ipv:

$_SESSION['user'] = $res['username'];
$_SESSION['password'] $res['password']

En hoe zit dit met COOKIES, kan ik in een cookie maar beter de gebruikersnaam en wachtwoord (eventueel encrypted) opslaan?

 

[Niellles]

Na wat rond zoeken kwam ik op het volgende: http://www.phphulp.nl/php/tutorials/10/38/88/
Lijkt me redelijk veilig en duidelijk?

 

[Raymond Nijland]

Wachtwoorden horen niet in sessies en al helemaal NIET in cookies

 

[flitsflitsflits]

en al helemaal NIET in cookies

Veel mensen willen graag ingelogd blijven, ik vraag me af wat jouw oplossing daar dan voor is.

 

[Niellles]

Ik ook, want zomaar een COOKIE waar in staat dat iemand ingelogd is lijkt me ook niet de oplossing... Als ik een password als volgt encrypt kan ik het toch best opslaan in een cookie:

function Encode($plainpass,$plainkey)
{
	return md5(md5($plainpass) ." ". $plainkey);
}

 

[Frats]

Een encrypted wachtwoord kun je opzich nog wel opslaan; plain text zeker niet.
Wat nog beter is, is een unieke key die je server aanmaakt als de gebruiker inlogd, en die naast zijn wachtwoord wordt opgeslagen. Bij voorkeur eentje die aan zijn IP gekoppeld is, zodat je em niet kunt kopieren.

Voor de "ingelogd" sessie, zou ik gewoon alleen de user id opslaan, meer heb je niet nodig.

 

[Raymond Nijland]

Ik ook, want zomaar een COOKIE waar in staat dat iemand ingelogd is lijkt me ook niet de oplossing... Als ik een password als volgt encrypt kan ik het toch best opslaan in een cookie:

function Encode($plainpass,$plainkey)
{
	return md5(md5($plainpass) ." ". $plainkey);
}

En wat als om 1 of andere veiligheidslek door middel van cross site scripting je cookie wordt gestolen dan kan er nog steeds in gelogt worden

 

[Niellles]

Tja... Maar dat zou het dus onmogelijk maken om een gebruiker ingelogd te laten blijven d.m.v. van cookies. Of zie ik dat nou verkeerd?

Hoe zie jij het dan voor je? Ingelogd blijven door het loggen va IP's?

 

[Frats]

Een cookie met encrypted wachtwoord + random key gemaakt door server + IP van die computer; die werken niet als je ze steelt.

 

[Raymond Nijland]

Een cookie met encrypted wachtwoord + random key gemaakt door server + IP van die computer; die werken niet als je ze steelt.

Mits je op de server die laatste ingelogt IP bijhoud zou het redelijk safe wezen.

Een cracker die de cookie krijgt en IP spoofing kan zou als nog kunnen inloggen op het system

 

[Niellles]

Bedankt allen!