/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Sikkerhed omkring login-script
Fra : Jimmy Snedker


Dato : 04-06-04 10:05

Hej NG,

Jeg fandt dette login-script på activedeveloper.dk (se link):

http://activedeveloper.dk/artikler/default.asp?articleid=88

Mine spørgsmål er følgende:

Er dette script sikkert nok?
Er der nogle gyldne regler omkring login, SQL, database og de
områder man vil beskytte?
Skriv gerne link til artikler eller bedre login-scripts!

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Christian Epstein (04-06-2004)
Kommentar
Fra : Christian Epstein


Dato : 04-06-04 10:21

Jimmy Snedker wrote:
> Hej NG,
>
> Jeg fandt dette login-script på activedeveloper.dk (se link):
>
> http://activedeveloper.dk/artikler/default.asp?articleid=88
>
> Mine spørgsmål er følgende:
>
> Er dette script sikkert nok?
> Er der nogle gyldne regler omkring login, SQL, database og de
> områder man vil beskytte?
> Skriv gerne link til artikler eller bedre login-scripts!
>
> Med venlig hilsen
>
> Jimmy Snedker
>

Jeg vil sige at det ikke er sikkert nok

For det første ser det ikke ud som om den beskyttede side faktisk er
beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
browseren.

For det andet kan man hvis man kender databasens navn downloade den og
hente folks koder.

For det tredje bør der bruges sessions eller cockies (egentlig også en
del af kritik punkt et) for at gøre systemet mere sikkert

/Christian

p.s. kig evt. på html.dk og hjemmesideskolen for at få bedre idéer,
eller spørg endeligt i gruppen, hvis du vil have ydeligere hjælp

Jimmy Snedker (04-06-2004)
Kommentar
Fra : Jimmy Snedker


Dato : 04-06-04 10:52

Hej Christian!


> For det første ser det ikke ud som om den beskyttede side faktisk er
> beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
> browseren.

Jeg har lavet en ankomst-side, der er sikret! Således hvis man gætter
navnet på siden men ikke er logget ind - bliver man kastet til noaccess.aps

>
> For det andet kan man hvis man kender databasens navn downloade den og
> hente folks koder.
>

Min database ligger i sikret mappen, således man ikke kan downloade den!

Med venlig hilsen

Jimmy

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Christian Epstein (04-06-2004)
Kommentar
Fra : Christian Epstein


Dato : 04-06-04 10:52

Jimmy Snedker wrote:
> Hej Christian!
>
>
>
>>For det første ser det ikke ud som om den beskyttede side faktisk er
>>beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
>>browseren.
>
>
> Jeg har lavet en ankomst-side, der er sikret! Således hvis man gætter
> navnet på siden men ikke er logget ind - bliver man kastet til noaccess.aps
>

Giv mig et link, så skal jeg tjekke vor sikret den er :D

>
>>
>>For det andet kan man hvis man kender databasens navn downloade den og
>>hente folks koder.
>>
> Min database ligger i sikret mappen, således man ikke kan downloade den!
>

Godt

> Med venlig hilsen
>
> Jimmy
>

Jimmy Snedker (04-06-2004)
Kommentar
Fra : Jimmy Snedker


Dato : 04-06-04 11:06


Hej Christian!

> Giv mig et link, så skal jeg tjekke vor sikret den er :D

http://www.3d-empire.dk/rt61/memberarea/default.asp

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Christian Epstein (04-06-2004)
Kommentar
Fra : Christian Epstein


Dato : 04-06-04 11:22

Jimmy Snedker wrote:
> Hej Christian!
>
>
>>Giv mig et link, så skal jeg tjekke vor sikret den er :D
>
>
> http://www.3d-empire.dk/rt61/memberarea/default.asp

Ser rimeligt sikkert ud fra hvad jeg kan se... kunne fx ikke få lov til
at downloade din ASP kode...

/Christian
>
> Med venlig hilsen
>
> Jimmy Snedker
>



Chrisser (04-06-2004)
Kommentar
Fra : Chrisser


Dato : 04-06-04 12:01

Jimmy Snedker wrote:
> Jeg fandt dette login-script på activedeveloper.dk (se link):
>
> http://activedeveloper.dk/artikler/default.asp?articleid=88
>
> Mine spørgsmål er følgende:
>
> Er dette script sikkert nok?
> Er der nogle gyldne regler omkring login, SQL, database og de
> områder man vil beskytte?
> Skriv gerne link til artikler eller bedre login-scripts!

Samme sted finder du en artikel om sql injection ( dit loginscript tager
højde for det - med hvis du ikke lige tænker over de to linier der sikrer
mod dette kunne du risikere at komme til at undlade dem ved en senere
lejlighed )

http://www.activedeveloper.dk/artikler/default.asp?articleid=297

Mvh
Chrisser



Jimmy Snedker (04-06-2004)
Kommentar
Fra : Jimmy Snedker


Dato : 04-06-04 13:25

Hej Chrisser!

Tak for svaret!


> Samme sted finder du en artikel om sql injection ( dit loginscript tager
> højde for det - med hvis du ikke lige tænker over de to linier der sikrer
> mod dette kunne du risikere at komme til at undlade dem ved en senere
> lejlighed )

Dvs. hvis mit script tager højde for sql injection, min database ligger i
en "download-beskyttet"-mappe og mine private sider er beskytte mod man kan
komme ind unden at være logget ind ...så er jeg godt på vej?

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Chrisser (04-06-2004)
Kommentar
Fra : Chrisser


Dato : 04-06-04 13:43

Jimmy Snedker wrote:
>> Samme sted finder du en artikel om sql injection ( dit loginscript
>> tager højde for det - med hvis du ikke lige tænker over de to
>> linier der sikrer mod dette kunne du risikere at komme til at
>> undlade dem ved en senere lejlighed )
>
> Dvs. hvis mit script tager højde for sql injection, min database
> ligger i en "download-beskyttet"-mappe og mine private sider er
> beskytte mod man kan komme ind unden at være logget ind ...så er
> jeg godt på vej?

Ja det vil jeg mene, dine includefiler kan jo så beskyttes mod nysgerrige
øjne hvis du kalder den *.asp frem for ex. *.inc - det gælder for eksempel
hvis du har din databaseforbindelse i en includefil...


Chrisser



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste