Het is namelijk voor een systeem waarmee je credits vanaf een ene website kan laten overzetten naar credits op een andere website. (Er moeten hierbij gegevens op een veilige manier verstuurd worden, zoals bv. het wachtwoord.)
Het zit zo:
- Je bent op de huidig.nl
- Je wilt credits ophalen vanaf extern.nl naar huidig.nl
- Je vult op huidig.nl je gebruikersnaam en wachtwoord in van extern.nl
- Deze gegevens moeten worden verstuurd naar extern.nl
- Op extern.nl wordt er gecheckt of je credits hebt.
- De credits worden daar afgeschreven.
- Je wordt terug gestuurd naar huidig.nl
- Hier worden credits bijgeschreven.
Mijn niet veilige oplossing:
Je wachtwoord in md5 en gebruikersnaam worden via de GET method (onveilig) verstuurd naar de website extern.nl (Deze website wordt in een iframe van 1px bij 1px geopend, zodat het voor de gebruiker onzichtbaar blijft.)
Hier wordt het wachtwoord & gebruikersnaam gecontroleerd en het saldo afgeschreven. Nu wordt je d.m.v.:
Code: Selecteer alles
<meta http-equiv="refresh" content="2;URL=huidig.nl?page=...." />Hier wordt het saldo dan bijgeschreven.
(Of er op dit moment nog een session loopt is de vraag, de ene keer wel, de andere keer niet)
Aan dit systeem mankeert nog heel veel. Ik heb 1 beveiliging extra ingebouwd om het voor de simpele krakers moeilijker te maken. Wanneer je namelijk op huidig.nl je gebruikersnaam en wachtwoord invult, worden deze eerst opgeslagen in de database. Vervolgens worden de gegevens via get meegestuurd naar extern.nl en vervolgens weer via get terug naar huidig.nl en vóór dat het saldo wordt bijgeschreven, wordt er eerst een check met de database uitgevoerd of het gebruikernaam en wachtwoord nog kloppen met wanneer je de session begon. (Dit is opnieuw niet waterdicht)
Er zijn enkele punten die ik zou willen weten:
1. Kan je een andere website binnen de huidige website laden op een andere manier dan een iframe? Zover ik weet werkt include alleen wanneer de website op dezelfde server staat en dat is dus niet het geval.
2. Gegevens, zoals een wachtwoord, op een veilige manier doorsturen, zonder dat de gebruiker hiertussen kan komen. (Dit is misschien met punt 1 ook automatisch opgelost).
3. Hoe bewaar je een session zodat je nog altijd bent ingelogd op huidig.nl wanneer je daarheen terugkeerd.
(De 2 websites staan dus op aparte servers)
Misschien heeft het er niks mee te maken, maar vele grote bedrijven hebben een veilig inlog systeem, dit werk dan met ssl als ik me niet vergis. Wanneer dit is ingebouwd krijg je ook zo'n slotje (veiligheids icoon) in je internet browser te zien. Heeft dit enig betrekking hierop? En is het mogelijk dit in te bouwen?
Ik hoop dat iemand me verder kan helpen.
Ik zit al een langere tijd met deze vraag.
