On Mon, 15 Mar 2004 11:31:41 +0100
"Jimmy" <nyhedsgruppe2001@FJERN.yahoo.co.uk> wrote:
>
> "Poul-Erik Andreasen" <poulerik@pea.dk> wrote in message
> news:20040315104012.04c08525.poulerik@pea.dk...
> On Mon, 15 Mar 2004 07:20:26 +0100
> "Jimmy" <nyhedsgruppe2001@FJERN.yahoo.co.uk> wrote:
>
> >
> > "Poul-Erik Andreasen" <poulerik@pea.dk> wrote in message
> > news:20040314220403.1f841513.poulerik@pea.dk...
> > On Sun, 14 Mar 2004 20:47:40 +0100
> > "Jimmy" <nyhedsgruppe2001@FJERN.yahoo.co.uk> wrote:
> >
> >
> > >> Jeg har ikke forstået hvad du mener, (han kan jo have sine brugere i en
> > >> komma-separeret fil med brugernavn og adgangskode i, hvis man nu *vil*
> > bruge
> > >> fil-løsningen.
> >
> > > Så kommer han til at sende password i klartekst over nettet hvad der er
> en
> > > dårlig ide.
> >
> > Kan du uddybe hvorfor man skulle sende det i klartekst hvis man tilgår en
> > tekstfil-database fremfor en MySQL-database?
> > Det giver ikke ret meget mening for mig.
>
>
> >Beklager det var en bøf, det har jeg fundet ud af. Der er grundlæggende de
> samme
> >problemer med klartekst uanset hvor han lagrer sine date.
>
> >Nu kender jeg ikke MySQL autentiseringsmetoder, men måske vile der være en
> >mulighed for slippe en smule lettere om det at bruge
>
> Det har ikke så meget at gøre med MySQL's autoriseringsmetoder men blot det
> faktum, at man normalt POST/GETer passwords fra klienten (brugeren) til
> webserveren, som så derfra igen sender det videre til MySQL på port 3306.
>
> De eneste to måder jeg kan komme på er at kryptere brugerens adgangskode via
> Javascript clientside før det sendes eller anvende SSL.
Man kan bruge Javascript, men man kan også bruge
Header(WWW-Authenticate : digest <digest-challenge>)
Der vil Automatisk foretage en md5-kryptereing med SALT. Hvis ellers
Browseren understøtter det. Det er det samme som Auth_Digest modulet
laver i Apache. Her sker det bare derekte fra PHP.
Se eventuelt denne her:
http://ftp.ics.uci.edu/pub/ietf/http/rfc2617.txt
> Men problemet med klar tekst adgangskoder over nettet er vist til at
> overskue med mindre vi snakker netbank mm.
Rimelighvis ja. Chancen for at der sidder en sniffer et eller andet sted
er måske ikke så stor. Det er mere et generelt ting om at hvis man altid
vælger at sætte "cykellås" eller ingenting på, så glemmer man måske at sikre sig
når behovet virkelig er der.
--
Poul-Erik Andreasen
http://www.linux-service.dk
http://www.pea.dk