/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
login sikkerhed.?
Fra : Rune Thougaard Krist~


Dato : 19-09-03 19:10

Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?

Er der nogle der kan bryde ind.?
Hvad kan jeg forbedre.?

mvh. Rune Thougaard Kristensen
--
http://www.rtk-design.dk
http://www.vinperlen.dk
http://www.hh-indretning.dk
http://www.dalgaards.dk
http://www.ja-design.tk



 
 
Jens Gyldenkærne Cla~ (19-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 19-09-03 22:00

Rune Thougaard Kristensen skrev:

> Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?

Ikke særlig stor.

> Er der nogle der kan bryde ind.?

Det tog 30 sekunder.

> Hvad kan jeg forbedre.?

Først og fremmest skal du validere forminput _før_ du sender det
til en database. Jeg har skrevet lidt om det her:
   <http://asp-faq.dk/article/?id=95>

Dernæst vil det være en god ide at sørge for at håndtere eventuelle
fejl. For det første fordi det ser bedre ud at give brugerne en
hjemmelavet fejlside og for det andet fordi det sikkerhedsmæssigt
ikke er så godt når man kan læse dele af din sql-syntaks i
fejlmeddelelsen fra asp-parseren.

Held og lykke.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

terje (19-09-2003)
Kommentar
Fra : terje


Dato : 19-09-03 23:04


"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:

| > Er der nogle der kan bryde ind.?
|
| Det tog 30 sekunder.

Ehh. Noe i mot å fortelle oss andre hvordan du gikk fram?
terje





Rune Thougaard Krist~ (19-09-2003)
Kommentar
Fra : Rune Thougaard Krist~


Dato : 19-09-03 23:08

Ok, det er jeg kad af at høre..!

Jeg kan ikke selv finde ud af ASP jeg kander kun til HTML og CSS så var det
mulighed for at vi du kunne hjælpe mig via MSN..?

mvh. Rune Thougaard
--

> > Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?
>
> Ikke særlig stor.
>
> > Er der nogle der kan bryde ind.?
>
> Det tog 30 sekunder.
>
> > Hvad kan jeg forbedre.?
>
> Først og fremmest skal du validere forminput _før_ du sender det
> til en database. Jeg har skrevet lidt om det her:
> <http://asp-faq.dk/article/?id=95>
>
> Dernæst vil det være en god ide at sørge for at håndtere eventuelle
> fejl. For det første fordi det ser bedre ud at give brugerne en
> hjemmelavet fejlside og for det andet fordi det sikkerhedsmæssigt
> ikke er så godt når man kan læse dele af din sql-syntaks i
> fejlmeddelelsen fra asp-parseren.
>
> Held og lykke.
> --
> Jens Gyldenkærne Clausen
> Svar venligst under det du citerer, og citer kun det der er
> nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
> hvordan på http://usenet.dk/netikette/citatteknik.html



Jens Gyldenkærne Cla~ (19-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 19-09-03 23:31

Rune Thougaard Kristensen skrev:

> Jeg kan ikke selv finde ud af ASP jeg kander kun til HTML og
> CSS så var det mulighed for at vi du kunne hjælpe mig via
> MSN..?

Nej. Men prøv at læse det link jeg gav. Det er en nogenlunde skridt
for skridt-gennemgang af hvordan man laver basal validering.

NB: Læs gerne min signatur.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jens Gyldenkærne Cla~ (19-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 19-09-03 23:39

terje skrev:

>| Det tog 30 sekunder.
>
> Ehh. Noe i mot å fortelle oss andre hvordan du gikk fram?
> terje

Lidt ;) Det kan jo i princippet misbruges. Men på den anden side
har jeg allerede linket til en side der beskriver hvordan man gør.
Læs <http://asp-faq.dk/article/?id=95> - her kan du både se hvordan
man kan komme ind når der ikke valideres og se hvordan man, som
sideforfatter, kan sikre sig mod den type gæster.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jens Gyldenkærne Cla~ (19-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 19-09-03 23:37

Jens Gyldenkærne Clausen skrev:

> Dernæst vil det være en god ide at sørge for at håndtere
> eventuelle fejl.

Jeg glemte i første omgang at give et link til hvordan man kan lave
fejlhåndtering i asp. Det kommer her:

<http://www.4guysfromrolla.com/webtech/060399-1.shtml>
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

terje (20-09-2003)
Kommentar
Fra : terje


Dato : 20-09-03 02:30


"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:

| Dernæst vil det være en god ide at sørge for at håndtere
| eventuelle fejl.

Yepp. Jeg har nettopp prøvd search funksjonen på http://asp-faq.dk og jeg
greide enkelt å crashe MySQL. Det tok meg bare 30 sekunder
terje



Jesper Stocholm (23-09-2003)
Kommentar
Fra : Jesper Stocholm


Dato : 23-09-03 10:15

terje wrote :

>
> "Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:
>
>| Dernæst vil det være en god ide at sørge for at håndtere
>| eventuelle fejl.
>
> Yepp. Jeg har nettopp prøvd search funksjonen på http://asp-faq.dk og jeg
> greide enkelt å crashe MySQL. Det tok meg bare 30 sekunder
> terje

Nu er det tilfældigvis mig, der i tidernes morgen har lavet
søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til at fortælle
hvad du gjorde?

--
Jesper Stocholm
http://stocholm.dk

Støt kampen imod softwarepatenter www.softwarepatenter.dk

Jens Gyldenkærne Cla~ (23-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 23-09-03 11:07

Jesper Stocholm skrev:

> Nu er det tilfældigvis mig, der i tidernes morgen har lavet
> søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til
> at fortælle hvad du gjorde?

Prøv at søge på Mc'Donald

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jesper Stocholm (23-09-2003)
Kommentar
Fra : Jesper Stocholm


Dato : 23-09-03 11:25

Jens Gyldenkærne Clausen wrote :

> Jesper Stocholm skrev:
>
>> Nu er det tilfældigvis mig, der i tidernes morgen har lavet
>> søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til
>> at fortælle hvad du gjorde?
>
> Prøv at søge på Mc'Donald

Ok - det var også den fejl jeg kunne reproducere.

Vi havde tidligere implementeret et "fejl-håndteringslag", der fangede
fejl i applikationen og sendte brugeren videre til en fejlside. Jeg kan
dog se at dette også var en af de ting, der forsvandt ved vores udbyders
crash i foråret.

Jeg har fixet fejlen nu. Hvis der er andre "huller", så vil jeg da gerne
have det at vide.



PS: du har hørt fra Jakob, ikke?

--
Jesper Stocholm
http://stocholm.dk
Støt kampen imod softwarepatenter www.softwarepatenter.dk

Jens Gyldenkærne Cla~ (20-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 20-09-03 20:47

terje skrev:

> Yepp. Jeg har nettopp prøvd search funksjonen på
> http://asp-faq.dk og jeg greide enkelt å crashe MySQL. Det tok
> meg bare 30 sekunder

Nu har jeg (endnu) ikke selv haft fingrene i hverken asp(x)- eller
html-kode på sitet, men du har helt ret - det er ikke heldigt at
faq-siden har disse problemer.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jens Gyldenkærne Cla~ (23-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 23-09-03 20:23

Jesper Stocholm skrev:

> PS: du har hørt fra Jakob, ikke?

Nej.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Tony Lorentzen (20-09-2003)
Kommentar
Fra : Tony Lorentzen


Dato : 20-09-03 01:45

Rune Thougaard Kristensen wrote:

> Er der nogle der kan bryde ind.?

Jeps.

> Hvad kan jeg forbedre.?

Prøv med flg. brugernavn og password:

'or'a'='a

--
Tony



Mads Graugaard Hanse~ (20-09-2003)
Kommentar
Fra : Mads Graugaard Hanse~


Dato : 20-09-03 14:19

Rune Thougaard Kristensen wrote in
dk.edb.internet.webdesign.serverside.asp:
> Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?
>
> Er der nogle der kan bryde ind.?

Ja.. ganske ganske simpelt.

> Hvad kan jeg forbedre.?

Du skal først og fremmest forbedre din login del..

kig evt her

http://activedeveloper.dk/aspdigital/2001092601.asp

der står en del om det grundlæggende

/Mads

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Rune Thougaard Krist~ (20-09-2003)
Kommentar
Fra : Rune Thougaard Krist~


Dato : 20-09-03 16:05

Kan man ikke få en færdig login med en god sikkerhed.?

mvh. Rune Thougaarrd
--



Rune Thougaard Krist~ (20-09-2003)
Kommentar
Fra : Rune Thougaard Krist~


Dato : 20-09-03 17:02

Er der stadig muligt at bryde ind på min login side..??

hvordan.?

hvordan kan det forbedres.?

mvh. Rune Thougaard
--



Jens Gyldenkærne Cla~ (20-09-2003)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 20-09-03 21:22

Rune Thougaard Kristensen skrev:

> Er der stadig muligt at bryde ind på min login side..??

Det er i hvert fald langt sværere end det var før. Jeg kan ikke
komme ind med en hurtig metode.


> hvordan.?

Der er jo altid én måde man kan "bryde ind" på - nemlig ved at
ramme en rigtig kombination af brugernavn og adgangskode. Det er
ikke nemt, men i nogle tilfælde kan man gøre det lettere end
nødvendigt.

I første omgang kan man måske gætte navnet på den database dine
brugeroplysninger ligger i. Hvis den ligger i webscope (dvs. har en
adresse der kan nås via en browser), kan et download betyde at
_alle_ dine data er tilgængelige for uvedkommende.

Når du angiver "Domæne" der hvor jeg ville skrive "brugernavn"
giver du et hint om hvordan brugernavnet ser ud. Det er godt for
dine kunder - de kan nok lettere huske deres domæne end et
arbitrært brugernavn - men skidt for sikkerheden. Hvis jeg kender
ejeren af example.com og ved at hans hund hedder rufus er jeg måske
allerede faretruende tæt på at have hans loginoplysninger.

Dog skal man også huske at klappe hesten. Der er forskel på om man
laver et loginsystem til en bank eller til den lokale idrætsklub.
Den sikkerhed du har nu er nok til at udefrakommende ikke på et
øjeblik kan få uberettiget adgang. Spørgsmålet er om det er
sandsynligt at der er nogen der vil arbejde seriøst på at tiltvinge
sig adgang til dit loginområde.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste