/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Password/sikkerhed
Fra : Carola Gregersen


Dato : 20-09-02 10:31

Hvor sikker er følgende script på en ASP-side:

<%
If Session.Contents("pass") <> "ok" Then
Response.Redirect "default.asp"
End if
%>

Kan det "brydes" nemt?

/Carola





 
 
Lars Hoffmann (20-09-2002)
Kommentar
Fra : Lars Hoffmann


Dato : 20-09-02 10:32

"Carola Gregersen" <cg@mmdk.dk> escribió

> Hvor sikker er følgende script på en ASP-side:

<snip>
> Kan det "brydes" nemt?

Alt andet lige kan det ikke brydes med andet end brute force.




Carola Gregersen (20-09-2002)
Kommentar
Fra : Carola Gregersen


Dato : 20-09-02 10:38

>
> <snip>
> > Kan det "brydes" nemt?
>
> Alt andet lige kan det ikke brydes med andet end brute force.
>
Dvs. at hvis jeg vil lægge et intranet ud "bag" en hjemmeside, f.eks. som et
subweb, med dette script på alle sider, så kan uvedkommende ikke
umiddelbart komme ind på det? For ikke alle må f.eks. se vor maskin- eller
kundedatabase, så det er jo lidt følsomt.
/Carola




Chrisser (20-09-2002)
Kommentar
Fra : Chrisser


Dato : 20-09-02 10:35


"Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
news:3d8aeabd$0$64158$edfadb0f@dspool01.news.tele.dk...
> Hvor sikker er følgende script på en ASP-side:
>
> <%
> If Session.Contents("pass") <> "ok" Then
> Response.Redirect "default.asp"
> End if
> %>
>
> Kan det "brydes" nemt?
>
Jeg vil sige at ovenstående kode er fin.
Det du skal kigge på er hvordan du laver dit login, det er der at
sikkerheden kan ryge sig en tur...
Så hvis du har noget kode til din login-side, så send det ind


MVH
Chrisser



Carola Gregersen (20-09-2002)
Kommentar
Fra : Carola Gregersen


Dato : 20-09-02 10:39


> Jeg vil sige at ovenstående kode er fin.
> Det du skal kigge på er hvordan du laver dit login, det er der at
> sikkerheden kan ryge sig en tur...
> Så hvis du har noget kode til din login-side, så send det ind
>
>
> MVH
> Chrisser
>
Login-koden er følgende:

strPassword = Request.Form("password")
If strPassword = "password" Then
Session.Contents ("pass") = "ok"
Else
Response.Redirect "pass_svar.htm"
End If
%>

/Carola



Chrisser (20-09-2002)
Kommentar
Fra : Chrisser


Dato : 20-09-02 10:43


"Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
news:3d8aecca$0$64160$edfadb0f@dspool01.news.tele.dk...
>
> Login-koden er følgende:
>
> strPassword = Request.Form("password")
> If strPassword = "password" Then
> Session.Contents ("pass") = "ok"
> Else
> Response.Redirect "pass_svar.htm"
> End If
> %>
>

Vil det sige at passwordet er eks. "password" ?
Altså at der kun eksisterer et password, ikke noget med "brugernavn"
+"password" som testes op mod en database ??
For selv om det er server-side, og derfor ikke kan ses client-side, så
tvivler jeg på sikkerheden i at benytte sig af et hardcodet password, men
lad os høre hvad 'sikkerheds-hajerne' siger ???


Chrisser



Jesper Stocholm (20-09-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 20-09-02 11:44

Chrisser wrote in news:ameqn8$bbm$1@sunsite.dk:

>
> "Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
> news:3d8aecca$0$64160$edfadb0f@dspool01.news.tele.dk...
>>
>> Login-koden er følgende:
>>
>> strPassword = Request.Form("password")
>> If strPassword = "password" Then
>> Session.Contents ("pass") = "ok"
>> Else
>> Response.Redirect "pass_svar.htm"
>> End If
>> %>
>>
>
> Vil det sige at passwordet er eks. "password" ?
> Altså at der kun eksisterer et password, ikke noget med "brugernavn"
> +"password" som testes op mod en database ??
> For selv om det er server-side, og derfor ikke kan ses client-side, så
> tvivler jeg på sikkerheden i at benytte sig af et hardcodet password,
> men lad os høre hvad 'sikkerheds-hajerne' siger ???

Der er sådan set ikke noget sikkerhedsmæssigt i vejen ved at matche op
imod et hardkodet password i en applikation. Det er fx meget ofte det
global.asa bruges til. Selfølgelig beror det på antagelser om at der ikke
findes exploits, hvor man kan komme til at se siderne i klartekst.

Problemet med password hardkodet i applikationen er dog, at man ikke kan
skelne imellem de enkelte brugere. Men ud fra et sikkerhedsmæssigt
synspunkt - alt andet lige, og alt det der - kan jeg ikke se, at det
skulle være specielt meget sikrere at opbevare brugernavn etc i selve
siden end i fx. en database.

(og så kan man naturligvis diskutere, om passwords overhovedet skal
opbevares i klartekst nogen steder [1] eller om "password" er et godt
valg som password.)

[1] Jeg er sikker på, at de fleste herinde kender min holdning til det.
--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

Carola Gregersen (20-09-2002)
Kommentar
Fra : Carola Gregersen


Dato : 20-09-02 12:34

> (og så kan man naturligvis diskutere, om passwords overhovedet skal
> opbevares i klartekst nogen steder [1] eller om "password" er et godt
> valg som password.)
>
> [1] Jeg er sikker på, at de fleste herinde kender min holdning til det.
> --
> Jesper Stocholm
> http://stocholm.dk
> http://asp.stocholm.dk
> Svar til gruppen og ikke til mig privat pr. email :|

Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun et
eksempel. Så meget har jeg da fattet indtil videre....

Det var bare en kort bemærkning for at opretholde et image som ikke helt
tungnem....

/Carola




Jesper Stocholm (20-09-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 20-09-02 13:23

Carola Gregersen wrote in
news:3d8b07c5$0$49622$edfadb0f@dspool01.news.tele.dk:

>> (og så kan man naturligvis diskutere, om passwords overhovedet skal
>> opbevares i klartekst nogen steder [1] eller om "password" er et godt
>> valg som password.)

> Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun
> et eksempel. Så meget har jeg da fattet indtil videre....
>
> Det var bare en kort bemærkning for at opretholde et image som ikke
> helt tungnem....

det har nu aldrig været min opfattelse, men jeg håber trods alt, at du
forstår min pointe i den del af mit svar, som du klippede væk.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

Carola Gregersen (23-09-2002)
Kommentar
Fra : Carola Gregersen


Dato : 23-09-02 08:33

>
> > Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun
> > et eksempel. Så meget har jeg da fattet indtil videre....
> >
> > Det var bare en kort bemærkning for at opretholde et image som ikke
> > helt tungnem....
>
> det har nu aldrig været min opfattelse, men jeg håber trods alt, at du
> forstår min pointe i den del af mit svar, som du klippede væk.
>
>
>
> --
> Jesper Stocholm
> http://stocholm.dk
> http://asp.stocholm.dk
> Svar til gruppen og ikke til mig privat pr. email :|

Klart klart!! No offense taken!
/Carola



Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste