D. Wed, 19 Sep 2001 17:00:19 +0200 syntes "Bo Rattenborg Jørgensen"
<bo.rattenborg@[no spam]mail.dk> at
dk.edb.internet.webdesign.serverside.php skulle vide at
<3ba8b29c$0$4795$ba624c82@nntp01.dk.telia.net>.
>> > Altså hver gang en bruger aktiverer noget på siden så opdateres denne
>> > brugers time i tabellen 'profile_logget_ind' ?
>>
>> ja - på den måde risikerer du ikke at en der er logget ind bliver smidt ud
>> pga. tidsgrænsen
>
>Hvad mener du / I om sikkerheden ? er der nogle problemer ?
Jeg kan ikke se nogle umiddelbart, men det afhænger jo også lidt af hvordan
koden kommer til at se ud
>Det største problem er vel at brugernavn og password ikke er krypteret når
>de sendes men er det et reel problem ?
Det afhænger af mange ting, bl.a. af det ønskede sikkerhedsniveau - det er
jo ikke for sjov at man normalt bruger https til at sende
dankortoplysninger, homebanking ol.
Det ville naturligvis være bedst, hvis folk skrev brugernavn og kodeord,
disse blev 1024-bit krypteret af fx. et javascript, og sendt til dit log-in
script via https, men det vil jo være ret besværligt at lave, og hvis det
fx. bare er et login til et brugerforum, er det efter min mening
overdrevet.
Men beslut hvilket sikkerhedsniveau du ønsker, hvilken interesse vil andre
have i at bruge en masse tid på at opsniffe en af dine brugeres kodeord,
hvad vil konsekvensen af en sådan opsnifning være ol.
Hvis risikoen for at det sker er 1:10000000 og der stort set ikke vil ske
noget ved et misbrug, er det nok ikke det værd at køre det store artelleri
i stilling.
--
Mvh. Simon Mikkelsen, ingeniørstuderende
www.zipstat.dk Gratis, reklamefri tæller/statistik til enhver hjemmeside
-Se bla. hvor dine besøgende kommer fra, og brug den usynlige tællerkode.