GET Manipuleren is makkelijker? Gewoon de URL veranderen... post is meer "kloten" ookal is het zo gedaan, maar we waren er al uit dat post veiliger was, lees ik? En ik denk dat de topic starter zijn antwoord ook al heeft.Origineel gepost door Vincent
-
26-09-2009, 21:53 #16
Particulier
- Berichten
- 533
- Lid sinds
- 16 Jaar
-
27-09-2009, 11:28 #17
The Silver Mountain
- Berichten
- 349
- Lid sinds
- 17 Jaar
Daar waren "we" helemaal niet uit. GET is door elke idioot te manipuleren, maar dat maakt POST niet veiliger! Als iemand kwaad wil doen maakt het voor de veiligheid niet uit of je POST of GET gebruikt, het gaat erom hoe je met de gegevens uit zo'n POST- of GET-request omgaat. Origineel gepost door Damiaan Reijnaers
Ik wil het zelfs nog sterker zeggen: als je POST gebruikt omdat dat veiliger zou zijn is dat in werkelijkheid onveiliger dan GET. Dan ben je je namelijk niet of minder bewust van de risico's.
-
27-09-2009, 11:34 #18
Particulier
- Berichten
- 2.971
- Lid sinds
- 18 Jaar
Eindelijk nog iemand met verstand, zoals gezegd; het is schijnveiligheid.
-
27-09-2009, 11:39 #19
Particulier
- Berichten
- 1.483
- Lid sinds
- 16 Jaar
Not true Origineel gepost door Vincent
Veiligheid zit hem niet in de POST of GET maar in de programmeur die het programma ontwikkeld. Ik wil nu een enorm lang verhaal voorkomen dus wil ik even wijzen op het volgend punt:
"Gebruik waar het gebruikt voor moet worden, bij een formulier is dat dus POST!"
-
27-09-2009, 11:52 #20
Particulier
- Berichten
- 2.971
- Lid sinds
- 18 Jaar
Maar dan klopt het toch wat ik zeg, dat het beide net zo onveilig is? Origineel gepost door Arek van Schayk
Want je punt dat het uiteindelijk de software erachter is die het veilig maakt bewijst dat juist.
-
27-09-2009, 11:59 #21
Particulier
- Berichten
- 756
- Lid sinds
- 16 Jaar
Helemaal mee eens, tussen GET en POST zit geen verschil qua veiligheid. Origineel gepost door Vincent
-
27-09-2009, 12:08 #22
64BitsWebhosting.EU
- Berichten
- 2.085
- Lid sinds
- 18 Jaar
Uiteindelijk maakt het helemaal niet uit of userdata via get, post, http, smtp of whatever binnenkomt. Controleren moet je het toch en in zoverre is het allemaal 'even' veilig/onveilig.
Maar veiligheid heeft niet alleen te maken met het checken van je code natuurlijk. Dat is maar een deel ervan. Ook het minder toegankelijk voor de meute maken is een onderdeel van je beveiliging. Voorkomen dat logingegevens via een achterdeur zoals de weblogs opeens op straat liggen, hoort ook gewoon bij beveiliging.
@Vincent, in pricipe heb je ook gelijk wat betreft de veiligheid van get/post (in het algemeen), maar in de context van een loginscherm is een get gebruiken gewoon fout, terwijl het in de context van een zoekfunktie, een get veel gebruikersvriendelijker en meestal ook beter is.
-
27-09-2009, 12:08 #23
Particulier
- Berichten
- 1.483
- Lid sinds
- 16 Jaar
Oh sorry, lees nu even alle quotes terug maar je gaat inderdaad in op iemand die beweerd dat iets onveiliger is. Dat was dus niet echt de bedoeling. Origineel gepost door Vincent
Maar inderdaad, de software bepaald de veiligheid. En gebruik POST gewoon waar je POST moet gebruiken.
-
27-09-2009, 12:15 #24
Particulier
- Berichten
- 515
- Lid sinds
- 16 Jaar
Bedankt voor al jullie antwoorden. Wil het liefst wel gewoon POST blijven gebruiken. Back button zit al in de website maar is toch vervelend als mensen de back button in de browser gebruiken en ze krijgen dan zo'n error. Is dat niet op te lossen op een simpele manier ??
-
27-09-2009, 12:37 #25
Yourwebhoster.eu
- Berichten
- 1.670
- Lid sinds
- 16 Jaar
Oke, ja dat kan Origineel gepost door John Timmer
@GET en SSL: Dacht ik al, dit wist ik niet zeker dus dan ga ik dit ook niet roepen;) Bedankt voor de info.
-
27-09-2009, 12:57 #26
Particulier
- Berichten
- 515
- Lid sinds
- 16 Jaar
Is het anders mogelijk toch een $_GET te gebruiken maar dat na het inloggen de username en password wel uit de adresbalk verdwijnen ? De site waarvoor de login is, is niet top secret ofzo dus als er ooit een ongenode gast binnenkomt is dat geen ramp. Daarom ook dit vrij basic login script.
-
27-09-2009, 13:04 #27
Particulier
- Berichten
- 756
- Lid sinds
- 16 Jaar
[edit]
Ik haal 2topics door elkaar, na het zien van de startpost zal dit voldoende moeten zijn:
Veranderen in:PHP Code:function showform()
{
?>
<meta http-equiv="REFRESH" content="0;URL=http://www.site.com/index.php">
<?php
}
?>
[/edit]PHP Code:function showform()
{
die(header("Location: http://www.site.com/index.php"));
}
?>
-
27-09-2009, 13:04 #28
The Silver Mountain
- Berichten
- 349
- Lid sinds
- 17 Jaar
Thanks Maarten ;) Origineel gepost door Vincent
-
27-09-2009, 13:10 #29
Yourwebhoster.eu
- Berichten
- 1.670
- Lid sinds
- 16 Jaar
POST blijft veiliger, vooral met SSL. Ik zeg ook niet dat het echt veilig is, maar het is wat betreft de aangehaalde punten zeker veiliger. En van SSL en GET had ik geen verstand, maar voor normaal GET en POST wel. GET is onveiliger omdat een URL zo aan te passen is en dus opgenomen wordt in logboeken. Origineel gepost door Vincent
EDIT: uiteindelijk blijft het onveilig natuurlijk, maar hier wat meer info waarom je POST zou moeten gebruiken bij dit soort dingen:
http://www.w3.org/Protocols/rfc2616/....html#sec9.1.1
En dat een login voor jou niet belangrijk is, kan voor de bezoeker anders zijn. Als hij/zij het wachtwoord ook op een andere site gebruikt welke wel belangrijk is, kan diegene de gegevens daarvoor proberen te gebruiken.
-
27-09-2009, 13:26 #30
Particulier
- Berichten
- 515
- Lid sinds
- 16 Jaar
@Z Tas : Op deze mannier werkt het wel beter. Het enige wat nog niet kan is als je bent ingelogd kom je op de news pagina. Als je dan naar pagina b gaat en je gebruikt de back button dan krijg je nog een error. Is dit ook nog op te lossen ? En is het mogelijk bij de header redirect nog iets van een javascript popup melding te geven dat de inlog gegevens niet kloppen ?
