Jag håller på att bygga ett inloggningsscript m.h.a. cookies och har fått mkt hjälp av Tydals inlägg.
Några frågor har dykt upp:
* Vad händer om det redan finns en cookie i besökarens dator med samma namn som den jag skapar vid inloggningen? Skrivs den över?
Ett säkerhetsproblem jag kommit fram till: md5-hashen sparas ju i en cookie i besökarens dator och vem som helst (som kommer åt datorn, t.ex. en kompis) kan gå in och kopiera för att sedan skapa en egen cookie med samma hash på sin dator. Då kommer ju han/hon in utan att behöva logga in... Tydal löser detta genom att lägga in en tidsstämpel i hashen. Då har jag två motfrågor:
* Är inte tanken med att spara inloggningen i en cookie ofta att besökaren inte ska behöva logga in på nytt nästa gång han/hon besöker sidan...?
* Om en inloggad besökare surfar runt på sajten längre än (i detta fall) en timme så slängs han/hon ut ju, eller hur?
Inte så bra.
En fråga till:
Hur gör man för att ändra en cookie? T.ex. ändra giltighetstiden.
Tack på förhand!
Några frågor har dykt upp:
* Vad händer om det redan finns en cookie i besökarens dator med samma namn som den jag skapar vid inloggningen? Skrivs den över?
Ett säkerhetsproblem jag kommit fram till: md5-hashen sparas ju i en cookie i besökarens dator och vem som helst (som kommer åt datorn, t.ex. en kompis) kan gå in och kopiera för att sedan skapa en egen cookie med samma hash på sin dator. Då kommer ju han/hon in utan att behöva logga in... Tydal löser detta genom att lägga in en tidsstämpel i hashen. Då har jag två motfrågor:
* Är inte tanken med att spara inloggningen i en cookie ofta att besökaren inte ska behöva logga in på nytt nästa gång han/hon besöker sidan...?
* Om en inloggad besökare surfar runt på sajten längre än (i detta fall) en timme så slängs han/hon ut ju, eller hur?
Inte så bra.
En fråga till:
Hur gör man för att ändra en cookie? T.ex. ändra giltighetstiden.
Tack på förhand!
Comment