Sprint 1 Fix: cookies serverside managen

[nilanbais]

De cookies worden nu in de browser geregeld. Dit moet worden omgeschreven naar het gebruik van cookies aan de serverside.

Best practices m.b.t. session state en session cookies (bron)

M.b.t. session state:

• Gebruik geen default session ID naam.
• Zorg dat de lengte lang genoeg is om brute force aanvallen te voorkomen. De geadviseerde lengte is 128 bits.
• Zorg dat de session ID op een compleet willekeurige wijze wordt gegenereerd.
• HTTPS moet gebruikt worden voor elke sessie met gevoelige data.
• Session cookies moeten gecreëerd worden met de Secure en HttpOnly attributes (misschien ASP.NET specifiek).
• Voorkom gelijktijdige sessions (van één gebruiker) waar mogelijk.
• Vernietig de Session bij een timeout, logoff, browser close or log-in from a seperate location.

M.b.t. session cookies:

• Sla geen cruciale data op als cookie (denk wachtwoord etc.), maar gebruike referenties naar de opslaglocatie van de data.
• Geeft aan elke cookie een vervaldatum mee en houd deze tijd zo kort mogelijk. Voorkom het gebruik van permanente cookies.
• Overweeg het versleutelen van informatie in cookies.
• Overweeg het instellen van de Secure en HttpOnly eigenschappen naar true.

[nilanbais]

Het valideren, controleren, uitlezen en toewijzen van cookies wordt nu serverside geregeld.

Elk eindpunt van de server controleert eerst op de benodigde wijze of een cookie aanwezig en correct is. Als deze check volledig wordt doorlopen, wordt de data uit de cookie toegewezen aan een lokale variabele om zo de cookie waarde te gebruiken in het verdere proces. Wanneer uit de check blijkt dat de cookie niet meer relevant is, wordt de data opnieuw aangevraagd bij de desbetreffende bron, opnieuw toegewezen aan de correcte cookie en wordt mee terug gegeven aan de client, met daarbij de gewenste data als json.

[nilanbais]

Cookies moeten gemanaged worden door sessions ipv cookies zelf te managen. Neem https://www.youtube.com/watch?v=TDe7DRYK8vU als voorbeeld met het gebruik van sessions en de koppeling tussen mongodb en de js code.