maico schreef:
Ik had het al gedacht
Maar wat zijn die risico`s dan?
Kan hier iemand 1 of enkele voordeelden van geven?
Ik vraag dit omdat ik het ingesteld op auto inloggen toestaan voor 1 dag.
En nu kwamen er vragen waarom.......... die ik eigenlijk zelf ook hed kunnen bedenken.
Als het om veiligheids redenen is waarom kun je het dan wel toestaan voor een bepaald aantal dagen?
Dan is het in die tjd toch ook niet veilig?
Nu is het dus zo, dat je gebruikers voor een dag ingelogd staan, dus komen ze binnen een dag terug naar je forum, dan wordt aan de hand van een cookie bekeken hoe oud deze is. Is deze jonger dan een dag, dan hoeft de gebruiker niet opnieuw in te loggen. Is het cookie ouder dan een dag, dan moet de gebruiker wel opnieuw inloggen, en wordt er een nieuwe cookie aangemaakt. Dit proces wordt session management genoemd.
Als er nou een of andere maloot is die een pc van een gebruiker hackt, en deze cookie te pakken krijgt, kan hij dus ook zonder meer inloggen op jou forum, ook al is hij niet de rechtmatige eigenaar van het cookie.
Stel nu dat die hacker een cookie te pakken krijgt van een admin, dan is het leed, mogelijk, niet te overzien en je moet niet denken aan wat zo'n persoon met je forum kan doen.
Dat er toch een mogelijkheid wordt gegeven om de geldigheid van een cookie te wijzigen, geeft je iets meer vrijheid over het inlog gedrag van je gebruikers.
Dus, inderdaad, hoe langer een cookie geldis is, hoe onveiliger.
Een dag is misschien aan de korte kant, maar is in elk geval veiliger dan 2 dagen of nog langer.
Hoe langer je cookie geldig is, hoe meer potentieel risico je loopt.
Snappie? 8)