/ Forside / Teknologi / Udvikling / HTML / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
HTML
#NavnPoint
molokyle 11184
Klaudi 5506
bentjuul 3377
severino 2040
smorch 1950
strarup 1525
natmaden 1396
scootergr.. 1320
e.c 1150
10  miritdk 1110
Password - kan det laves ?
Fra : Gugge


Dato : 25-04-03 08:13

Er det muligt at lave en Passwordside til nogle andre sider, som er sikkert
og ikke bare at bryde.

Det skal vel laves som noget session, eller lign, så man ikke bare kan
skrive sidenavnet i addresselinien.

Men kan det gøres, jeg kan lave det i ASP, men jeg er ikke sikker på at dem
som skal have det har en host som understøtter DB og ASP.

Mvh

G



 
 
Dennis T. Holm (25-04-2003)
Kommentar
Fra : Dennis T. Holm


Dato : 25-04-03 08:22

> Det skal vel laves som noget session, eller lign, så man ikke bare kan
> skrive sidenavnet i addresselinien.

Rigtigt. .. hvis det er noget med at brugeren bagefter får adgang til
diverse ting alt efter brugerens login, så er det nok mest hensigtsmæssigt
at bruge sessions.

> Men kan det gøres, jeg kan lave det i ASP, men jeg er ikke sikker på at
dem
> som skal have det har en host som understøtter DB og ASP.

Hvis ikke brugeren hverken har ASP, PHP, JSP, DB eller noget som helst, står
du måske lidt med røven i postkassen .. :) Det bliver ihvertfald svært at
lave noget som helst dynamisk uden understøttelse af serverside sprog :)

Ville nok kontakte dem som hoster deres webhotel, eller tjekke hjemmesiden
og se om siden understøtter nogen af disse, inden der bliver lavet noget som
helst kode.. Det er jo lidt ærgeligt hvis alt det man laver ikke kan bruges
:)

MVH

DEnnis



jopa (25-04-2003)
Kommentar
Fra : jopa


Dato : 25-04-03 08:48

Davs du
Gugge <gugge@image.dk> skrev bla:
> Er det muligt at lave en Passwordside til nogle andre sider, som er
> sikkert og ikke bare at bryde.

Uden serverside er der vel kun JavaScript tilbage, som for nørden er rimelig
nem at knække
--
Mvh. John
www.johns-web.dk / www.jp-web.dk
www.web-templates.dk
Teamwork sharpening the skills!!



Jesper Brunholm (25-04-2003)
Kommentar
Fra : Jesper Brunholm


Dato : 25-04-03 09:19

Gugge wrote:
> Er det muligt at lave en Passwordside til nogle andre sider, som er sikkert
> og ikke bare at bryde.

Hvis det skal være rigtigt sikkert så skal du have noget serverside.

Hvis du kan nøjes med noget som man skal bruge en stak timer, lidt
datalogi og en god del indædt vilje for at komme igennem, så er der et
par løsninger her:

<http://www.hjemmesideskolen.dk/scripts/pass.asp>

mvh

Jesper Brunholm

--
H.C. Andersen-Centret med nyt design: <http://www.andersen.sdu.dk/>
Phønix - dansk folk-musik fra unge musikere - <http://www.phonixfolk.dk/>


Toke Eskildsen (25-04-2003)
Kommentar
Fra : Toke Eskildsen


Dato : 25-04-03 11:17

[posted and mailed]

Sendt til dk.edb.internet.webdesign.html og til Erik Ginnerskov, der
nok har interesse i at læse indlægget.


Jesper Brunholm wrote:

> Hvis det skal være rigtigt sikkert så skal du have noget
> serverside.

Ganske enig.

I teorien kunne man lave et JavaScript, der pakkede sidens indhold ud
med password som nøgle, men i praksis er det næppe en holdbar løsning.

> Hvis du kan nøjes med noget som man skal bruge en stak timer, lidt
> datalogi og en god del indædt vilje for at komme igennem, så er
> der et par løsninger her:
>
> <http://www.hjemmesideskolen.dk/scripts/pass.asp>

Der er to løsninger på den side.

1) En JavaScript løsning, der har problemet med at den kun skjuler den
rigtige URL og ikke kræver password, hvis URLen tilgås direkte.

Den kan ikke brydes som sådan (medmindre password er nemt at gætte),
men den er usikker, da en eller anden med adgang til siden kan lave et
direkte link til den. Hvis der fører links væk fra siden, kan adressen
desuden ses i referer-logs på den webside, som linket fører til.


2) En Java applet løsning, der tog 20 minutter at knække. Det ville nok
have taget 5-10 minutter, hvis ikke lige det var fordi det er nogle
måneder siden, jeg legede med Java. Desuden har den samme problem med
adresselinjen som løsning 1.

Og nej, det er ikke fordi jeg er genial til Java. Det var blot at kigge
i koden via en decompiler og rette et par funktionskald. Derefter afgav
den gladeligt brugernavne, passwords og tilhørende adresser.

Jeg vil ikke anbefale den applet. Det kan gøres meget bedre, ved f.eks.
at anvende brugernavn/password som nøgle til kryptering af adressen.
--
Toke Eskildsen - http://ekot.dk/

Aksel Spandet (25-04-2003)
Kommentar
Fra : Aksel Spandet


Dato : 25-04-03 11:32

Hey!

Hva med htaccess. Det skulle være rimelig sikkert! Og let at sætte op....

http://www.udvikleren.dk/show_article.php?id=139

Mvh
Aksel



Dennis T. Holm (25-04-2003)
Kommentar
Fra : Dennis T. Holm


Dato : 25-04-03 11:37

> Hva med htaccess. Det skulle være rimelig sikkert! Og >let at sætte op....

Problemet med htaccess er at det ikke er så dynamisk. Skal der tilføjes nye
login og passwords skal man hver gang ændre i sin password fil. Det bedste
ville stadig være et eller andet serverside programmeret kode, som gemmer
det indtastede brugernavn og password i en session .Man kan på denne måde og
senere implementere det sådan så brugeren har en status, som kun giver ham
adgang til diverse sider, ved at sætte en ekstra status attribut i sin
session....

Mvh Dennis T. Holm



Michael Rasmussen (25-04-2003)
Kommentar
Fra : Michael Rasmussen


Dato : 25-04-03 12:33

On Fri, 25 Apr 2003 12:36:48 +0200, Dennis T. Holm wrote:

> Problemet med htaccess er at det ikke er så dynamisk. Skal der
> tilføjes nye login og passwords skal man hver gang ændre i sin
> password fil. Det bedste ville stadig være et eller andet
> serverside programmeret kode, som gemmer det indtastede brugernavn
> og password i en session .Man kan på denne måde og senere
> implementere det sådan så brugeren har en status, som kun giver
> ham adgang til diverse sider, ved at sætte en ekstra status
> attribut i sin session....

Jamen, i overser stadigvæk det fundamentale problem! Hvis i laver en
serverside implementering, bliver alle password jo sendt i klar
tekst over nettet. Får at det skal fungerer efter hensigten, må
passwords nødvendigvis være krypteret på klienten. Man kan
implementerer MD5, Crypt, 3DES etc. i javascript, for at undgå
passwords bliver transporteret over nettet i klar tekst.

--
Hilsen/Sincerely, Michael Rasmussen

En windows admin er en person, for hvem den største bedrift er, at
lave konfiguration af serveren med trial and error via en gui.


Dennis T. Holm (25-04-2003)
Kommentar
Fra : Dennis T. Holm


Dato : 25-04-03 12:41

> Jamen, i overser stadigvæk det fundamentale problem! Hvis i laver en
> serverside implementering, bliver alle password jo sendt i klar
> tekst over nettet.
Får at det skal fungerer efter hensigten, må
> passwords nødvendigvis være krypteret på klienten. Man kan
> implementerer MD5, Crypt, 3DES etc. i javascript, for at undgå
> passwords bliver transporteret over nettet i klar tekst.

Det hele kommer vel an på hvor sikkert det skal være... Hvis det er
MEEEEEEEEGET følsomme oplysninger skal krypteringen være i top, men er det
derimod bare bløde oplysninger, eller mindre følsomme oplysninger er det vel
ikke værd at lave de store armbevægelser for at gøre det så sikkert som
muligt..
Men hvis du ønsker størst sikkerhed uden for mange armbevægelser er det nok
som før foreslået det nemmeste at bruge .htaccess...

Men mener stadigvæk ikke at det at bruge serverside sprog i den sammenhæng
burde være noget problem .. Men som sagt kommer det an på de oplysninger som
er tilgængelige på den side..

Dennis T. Holm



jopa (25-04-2003)
Kommentar
Fra : jopa


Dato : 25-04-03 19:02

Davs du
Michael Rasmussen <mir@datanom.net> skrev bla:
> Jamen, i overser stadigvæk det fundamentale problem! Hvis i laver en
> serverside implementering, bliver alle password jo sendt i klar
> tekst over nettet. Får at det skal fungerer efter hensigten, må
> passwords nødvendigvis være krypteret på klienten. Man kan
> implementerer MD5, Crypt, 3DES etc. i javascript, for at undgå
> passwords bliver transporteret over nettet i klar tekst.

Nu er det formentlig ikke passwords til Pentagons server han efterlyser

--
Mvh. John
www.johns-web.dk / www.jp-web.dk
www.web-templates.dk
Teamwork sharpening the skills!!



Mongoose (25-04-2003)
Kommentar
Fra : Mongoose


Dato : 25-04-03 23:43
Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste