Archief - PHP : loginstring

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
=

=(X)=RaVen=

Legacy Member
Hallo,

Kzit met een probleempje :)
Op bijvoorbeeld www.clanbase.com maakt men gebruik van een "loginstring"
alla www.clanbase.com/pagina.php?qid=3fac3542G2BE
Ik zou dit principe wel eens willen toepassen, maar nu is mijn vraag, als je dit ophaalt (met een simpele $_GET['qid']), hoe kan je dan eruithalen van wie de user/pass-hash is ?
Je kan toch moeilijk je 5000 users overlopen en overal ergens iets hasen met zijn user/pass en dan die record ophalen? :f

Iemand enig idee? :)

alvast bedankt

=(X)=RaVen=
s

stoffer

Legacy Member
Ik ken dat eigenlijk niet maar kan het niet zijn dat je het gewone userid daaruit kunt halen, want dan heb je toch genoeg?
s

servi

Legacy Member
nu niet gaan overdrijven met prefixen hé, eentje is genoeg hoor :)

Overigens ga je ervan uit dat dat stukje dient voor in te loggen, wat me eerlijk gezegd zou verwonderen, ik denk immers dat het eerder een stukje tekst is dat wordt toegepast om op het paswoord te hashen.
=

=(X)=RaVen=

Legacy Member
@ Stoffer, er moet dan ook nog een user/pass zijn, niet?

Of zou het volstaan zo een unieke hash te genereren per user en die in de db op te slaan, en wanneer iemand die hash gebruikt bij het surfen hem automatisch inloggen?
Omdat men eig zo een hash praktisch niet kan raden?
s

servi

Legacy Member
ah maar dan is het niet voor in te loggen hé, dan is het gewoon een "sessie".

en dat wordt zo gedaan :
tabel in database met ongeveer gegevens :
datum timestamp,
id int,
hash char(16)

nu zou dat uiteraard veel werk zijn als men dat voor 5000 gebruikers, daarom werkt men met een tijd. Als je bijvoorbeeld 15 min niet meer op een pagina bent geweest zal je terug uitgelogd zijn (tenzij je cookies gebruikt).
Aangezien er maar maximaal iets van een 1000 man online is is dat dus goed te doen.
=

=(X)=RaVen=

Legacy Member
nope :)
Ik heb een bookmark (koppeling) met die url met altijd diezelfde qid en die gebruik ik om ineens ingelogd op CB rond te surfen :)

trouwens, zou het een slecht idee zijn om aan al mijn links toe te voegen &q=MD5HASVANPASWOORD+SALT en dan gewoon als men met zo een link rondsurft de juiste user uit de db halen en ingelogd zijn?
Ik wil gewoon een systeem liefst zelfs zonder cookies & sessies om toch ingelogd te zijn en te blijven (als je bookmarkt) :)
k

killgore

Legacy Member
Gebruik toch gewoon sessies, jij wilt nu je eigen sessie systeem maken, wat prolly niet zo veilig is :crazy:
s

servi

Legacy Member
hoezo nope ?

jawel hoor. als dat een verkeerde hashid is, gaat die gewoon zien naar je cookies en van daaruit die hashid maken (misschien altijd dezelfde dat zou kunnen).

Als ze het echt constant zouden bijhouden, zouden ze vrij dom zijn en ineens verklaren waarom dat die clanbase zo traag is.
s

stoffer

Legacy Member
Al es gekeken of ge na uitloggen met die link automatisch inlogt?
=

=(X)=RaVen=

Legacy Member
tis ALTIJD dezelfde.

maar mijn nieuwe stelling :p
Ik heb een veld "pass" in de db per user.
Daarin zit een md5hash van user+pass+salt
Als ik die md5hash nu altijd zou meegeven in de url en gewoon vanboven op de pagina check of de url-parameter bestaat en al dan niet voorkomt in de database. zoja -> auto-login. Zou dit onveilig zijn?
Want nen md5hash raad ge toch ook ni zomaar zou ik denken
L

Lashknife

Legacy Member
=(X)=RaVen= zei:
Want nen md5hash raad ge toch ook ni zomaar zou ik denken
Klik om te vergroten...
nee, want een md5 is niet uniek

en je zou maar eens jouwzelfde salt + andere user + andere pass die toevallig dezelfde md5 checksum creëren en je hebt een probleem want je weet niet wie het is...

most unlikely to happen, maar het kan!
d

dJeez

Legacy Member
=(X)=RaVen= zei:
Zou dit onveilig zijn?
Klik om te vergroten...

Ja, zeker als 't een URL parameter is. Het volstaat dan nl. dat ik ff memoriseer wat er op je adresbalk staat (of gewoon in de IE history kijk) en 'k heb uw login te pakken.
=

=(X)=RaVen=

Legacy Member
mja, maar das me CB ook he :)
Dus als ik de enige gebruiker ben van de pc is't veilig ?

Anyway ik zal wel voor een combinatie opteren ofzo dan :)
D

DarkBone

Legacy Member
Mag ik hier ook even doorverwijzen naar een post van mij in een andere thread:
https://www.beyondgaming.be/forums

Beschouw dit aub. niet als cross-posting. Het is een zeer intressante bespreking van sessies en de gevaren, meerbepaald een gevaar dat vaak vergeten word 'session fixation'. Must read :)

Grtz,
db
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan