/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Mail form turorials gør dem meget usikkre!~
Fra : Ralle


Dato : 19-11-06 13:55

Hejsa..

jeg har set at mange steder, når folk spørger hvordan man laver
en mailform, så skriver de at man skal skrive noget med.
<input type="hidden" name="to" value="minmail@minhjemmeside.dk">
(bare eksempel jeg lige hurtigt skrev.)

men hvis der bliver sendt vigtige informationer, er det meget
nemt for en hacker at gå ind og skrive sin egen mail, så
informationerne bliver sendt til ham istedet.

fx. i browseren skriver man:
javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
)

Hvorfor skriver folk sådan en stor sikkerheds fejl??

og ja jeg har fundet en måde at undgå hackerne, ved at sætte
tingene ind i en php fil, som sender filen.

Ralle - Dette indlæg er lavet for at folk kan debattere tingene!

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Christian Joergensen (19-11-2006)
Kommentar
Fra : Christian Joergensen


Dato : 19-11-06 14:24

Ralle <ralle_rass@hotmail.com> writes:

> Hejsa..
>
> jeg har set at mange steder, når folk spørger hvordan man laver
> en mailform, så skriver de at man skal skrive noget med.
> <input type="hidden" name="to" value="minmail@minhjemmeside.dk">
> (bare eksempel jeg lige hurtigt skrev.)
>
> men hvis der bliver sendt vigtige informationer, er det meget
> nemt for en hacker at gå ind og skrive sin egen mail, så
> informationerne bliver sendt til ham istedet.
>
> fx. i browseren skriver man:
> javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
> )
>
> Hvorfor skriver folk sådan en stor sikkerheds fejl??

Fordi folk ikke overvejer sikkerhedsaspektet? Jeg er ikke helt med
paa hvor du vil hen?

--
Christian Joergensen | Linux, programming or web consultancy
http://www.razor.dk | Visit us at: http://www.gmta.info

Ralle (19-11-2006)
Kommentar
Fra : Ralle


Dato : 19-11-06 14:34

Christian Joergensen wrote in
dk.edb.internet.webdesign.serverside.php:
> Ralle <ralle_rass@hotmail.com> writes:
>
> > Hejsa..
> >
> > jeg har set at mange steder, når folk spørger hvordan man laver
> > en mailform, så skriver de at man skal skrive noget med.
> > <input type="hidden" name="to" value="minmail@minhjemmeside.dk">
> > (bare eksempel jeg lige hurtigt skrev.)
> >
> > men hvis der bliver sendt vigtige informationer, er det meget
> > nemt for en hacker at gå ind og skrive sin egen mail, så
> > informationerne bliver sendt til ham istedet.
> >
> > fx. i browseren skriver man:
> >
javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
> > )
> >
> > Hvorfor skriver folk sådan en stor sikkerheds fejl??
>
> Fordi folk ikke overvejer sikkerhedsaspektet? Jeg er ikke helt med
> paa hvor du vil hen?
>

Vil ikke rigtigt noget sted hen med det, sys bare det er underligt
at hjemmesider som ser så professionelle ud, laver en tutorial hvor
der er sådan et sikkerhedshul.

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Bertel Lund Hansen (19-11-2006)
Kommentar
Fra : Bertel Lund Hansen


Dato : 19-11-06 20:50

Ralle skrev:

> Vil ikke rigtigt noget sted hen med det, sys bare det er underligt
> at hjemmesider som ser så professionelle ud, laver en tutorial hvor
> der er sådan et sikkerhedshul.

Næste gang du ser en 'professionel' side, så kør den en tur
igennem validatoren:

   http://validator.w3.org/

Så skifter du måske mening. Fejlagtige sider laves af folk der
"bare skal have tingene til at virke og ikke tager det så nøje
med lidt ukorrekt kode". De tænker slet ikke på sikkerhed.

Et større 'professionelt' firma søsatte et større projekt hvos de
skulle styre pengeoverførsler på nettet hvilket bl.a. involverede
registrering af personnumre. De havde lavet den sikkerhedsbrist
som står på side 1 i begynderens lærebog i sikkerhed på nettet.
Det betød at *enhver* kunne trække *alle* oplysninger ud af deres
database ved at skrive en linje i sin browsers adressefelt.

Valus var navnet, og fejlen var manglende validering af
brugerinput (kodeinjektion).

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste