Coding tip 1

Coding tip 1

Wekelijks zal ik een coding tip publiceren waarin ik een stuk code laat zien wat een fout bevat, jullie kunnen zelf proberen de fout te vinden en in een reactie hieronder te plaatsen.

Voor de eerste coding tip is de volgende code te zien:

<?xml version="1.0" encoding="utf-8"?>

<configuration xmlns:xdt="http://schemas.microsoft.com/XML-Document-Transform">
  <system.web>
    <compilation xdt:Transform="RemoveAttributes(debug)" />
    <trace enabled="false" xdt:Transform="Replace"/>
    <customErrors mode="On" defaultRedirect="~/500.aspx" redirectMode="ResponseRewrite" xdt:Transform="Replace" />
    <httpCookies requireSSL="false"/>
    <authentication>
      <forms requireSSL="true" xdt:Transform="SetAttributes(requireSSL)"/>
    </authentication>
  </system.web>
</configuration>

In bovenstaande code is een fout gemaakt, het is altijd belangrijk dat een reqeust beveiligde cookies bevat. Waarschijnlijk na het lezen van de vorige zin ben je al tot de conclusie gekomen welke zin er fout is.

Ik zal hieronder met kleur aangeven welke regel er fout was.

In dit geval stond de requireSSL optie namelijk uit, terwijl het juist nodig is om de requireSSL optie aan te zetten. Als de cookies niet versleuteld zijn kunnen deze makkelijk misbruikt worden.

Maar wat zijn nou eigenlijk cookies?

Hoe controleer ik welke cookies er door mijn website geplaatst worden?

Nee, helaas niet deze cookies. Een HTTP cookie (web cookie, browser cookie) is een klein onderdeel van data die de server verstuurd naar de gebruikers zijn web browser. De browser zou deze cookie eventueel kunnen opslaan en het weer terug sturen naar de server met de volgende request.

Meestal wordt het gebruikt om te kunnen aanduiden of twee requesten van dezelfde web browser kwamen, denk hierbij aan een gebruiker die ingelogd is. Daarom is het belangrijk dat een cookie op een veilige manier over het netwerk wordt gestuurd, dit is de reden waarom SSL aan moet staan.

Als SSL namelijk aan staat dan wordt de cookie over HTTPS verstuurd, HTTPS is hetzelfde als HTTP alleen bij HTTPS wordt er een versleuteling toegepast waardoor aanvallers niet zo snel een man in the middle aanval kunnen uitvoeren. Dus het moraal van het verhaal is om altijd cookies te versturen met SSL aan.

Bedankt voor het lezen en tot de volgende keer!

Please share and spread
5 1 stem
Artikelbeoordeling
Abonneer
Laat het weten als er
guest
0 Reacties
Inline feedbacks
Bekijk alle reacties
NederlandsEnglish
0
Zou graag je gedachten willen weten, s.v.p. laat een reactie achter.x
()
x