---

Kære NG

Vores interne system på mit arbejde, bruge i øjeblikket frames
for at skjule fil og querystring navne, og derved gøre det så
svært som muligt for de brugerer af systemet (mine kollegaer) der
evt. skulle have lyst til at hente/lave ting de ikke skal. Men
da, jeg sidder i programmeringsgruppen for vores nye system (læs
vi starter med at måske forsøge at lave noget mandag) ville det
være dejligt hvis jeg kunne få forslag til alternativer, da jeg
hader frames...

/Christian

P.S. Jeg håber at den kære NG som altid hjælper mig ud af de
problemer jeg ikke lige kan se løsninger på... På forhånd tak :D

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Christian Epstein <epstein_NOSPAM_@sol.dk> skrev:

> i øjeblikket frames for at skjule fil og querystring navne

Jeg ser slet ingen grund til at skjule noget som helst. Hvorfor
ikke bare vise det link der bliver henvist til?

Det gør det også meget nemmere at henvise til en bestemt
side.

> og derved gøre det så svært som muligt for de brugerer af
> systemet (mine kollegaer) der evt. skulle have lyst til at
> hente/lave ting de ikke skal.

I har sikkert brug for en bedre lokal politik omkring jeres interne
sider, end at pakke det ind i frames og andre besværligheder.

> være dejligt hvis jeg kunne få forslag til alternativer, da jeg
> hader frames...

Læs først http://html-faq.dk/2009.asp og derefter
http://html-faq.dk/2003.asp - det kan måske give dig lidt
inspiration.

--
Allan Vebel
http://html-faq.dk

---

Allan Vebel wrote in dk.edb.internet.webdesign.html:
> Christian Epstein <epstein_NOSPAM_@sol.dk> skrev:
>
> > i øjeblikket frames for at skjule fil og querystring navne
>
> Jeg ser slet ingen grund til at skjule noget som helst. Hvorfor
> ikke bare vise det link der bliver henvist til?

Vi bliver nød til at skjule ting, da det meste af det der bliver
arbejdet med er fortrolige oplysninger... så rent sikkerheds messigt
er det vigtigt for os, at der ikke er mulighed for den med en lille
smule viden (nok til ikke at kunne finde ud af hvad der sker når det
hele er pakket ind i en frame) at finde ud af navne på database felter
osv. da det vil være muligt at hente oplysninger...

Det største problem er egentlig at folk skal have adgang til disse
databaser, men kun nogle felter ad gangen, så viden om hvem folk er,
ikke kan blive kombineret med de andre ting i databasen...


> Det gør det også meget nemmere at henvise til en bestemt
> side.

Men det er nemlig meningen at man ikke skal kunne gøre det, bortset
fra det som de kan fra menuen... (fx må de ikke vide Id nummererne fra
databaserne...)

> > og derved gøre det så svært som muligt for de brugerer af
> > systemet (mine kollegaer) der evt. skulle have lyst til at
> > hente/lave ting de ikke skal.
>
> I har sikkert brug for en bedre lokal politik omkring jeres interne
> sider, end at pakke det ind i frames og andre besværligheder.

Det kan ikke nægtes, men som det er i dag skal alle skrive under på en
fortrolighedserklæring, men som I alle ved, er aftaler tit ikke nok
til at holde på folk...

> > være dejligt hvis jeg kunne få forslag til alternativer, da jeg
> > hader frames...
>
> Læs først http://html-faq.dk/2009.asp og derefter
> http://html-faq.dk/2003.asp - det kan måske give dig lidt
> inspiration.

Jeg vil lige gennemgå det her hurtigt, og her er svarene...

Søgemaskiner: Siderne er slet ikke tilgængelig udenfor vores
bygninger... ikke engang på vores intranet (der er tilgængelig over
nettet) så søgemaskiner er ikke relevante...

Bestemt opløsning: Hvis det var tilfældet, hvilket det ikke er, ville
det ikke gøre noget overhovedet, da alle computerer i bygningen er sat
op til 1024 * 768 og normale brugere ikke kan ændre på opløsningen...

Link problemet er ikke noget problem, da det netop er derfor det
ligger i frames...

Og det er meningen at de ikke skal kunne surfe rundt på andrer
sider...

Og nej vi behøver ikke at give andrer linket, da der jo ikke er nogen
andre der skal have adgang til den...

/Christian

P.S. Tak til dem der gider læse denne lange lange forklaring...



--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Christian Epstein <epstein_NOSPAM_@sol.dk> wrote:

>Vi bliver nød til at skjule ting, da det meste af det der bliver
>arbejdet med er fortrolige oplysninger... så rent sikkerheds messigt
>er det vigtigt for os, at der ikke er mulighed for den med en lille
>smule viden (nok til ikke at kunne finde ud af hvad der sker når det
>hele er pakket ind i en frame) at finde ud af navne på database felter
>osv. da det vil være muligt at hente oplysninger...

Eddermugme godt nok en dårlig sikkerhed, hvis det eneste der skal til
er et kik i kildekoden for at finde fem til fortrolige oplysninger der
ikke må kunne ses.
I har sikkert allerede noget login, så det vil da være naturligt at
indbygge et check for om folk kigger på det de må se. Ved at lave det
serverside er det ligegyldigt om nogen bruger et link til noget de
ikke må, det tjekkes der for inden resultatet vises frem.

Den der har fundet på at bruge frames til det har fået for meget i løn
i for lang tid
--
med venlig hilsen
Leonard - http://leonard.dk/

---

Leonard wrote in dk.edb.internet.webdesign.html:
> Christian Epstein <epstein_NOSPAM_@sol.dk> wrote:
>
> >Vi bliver nød til at skjule ting, da det meste af det der bliver
> >arbejdet med er fortrolige oplysninger... så rent sikkerheds messigt
> >er det vigtigt for os, at der ikke er mulighed for den med en lille
> >smule viden (nok til ikke at kunne finde ud af hvad der sker når det
> >hele er pakket ind i en frame) at finde ud af navne på database
felter
> >osv. da det vil være muligt at hente oplysninger...
>
> Eddermugme godt nok en dårlig sikkerhed, hvis det eneste der skal til
> er et kik i kildekoden for at finde fem til fortrolige oplysninger der
> ikke må kunne ses.
> I har sikkert allerede noget login, så det vil da være naturligt at
> indbygge et check for om folk kigger på det de må se. Ved at lave det
> serverside er det ligegyldigt om nogen bruger et link til noget de
> ikke må, det tjekkes der for inden resultatet vises frem.
>
> Den der har fundet på at bruge frames til det har fået for meget i løn
> i for lang tid
> --
> med venlig hilsen
> Leonard - http://leonard.dk/

HeHe han er også blevet fyret nu... men nok om det... det er i øvrigt
derfor vi er i gang med et nyt system... det skal siges at der allerede
er et script på alle sider der tjekker om der er en log in session og
den arbejder med encryptet passwords en database...

Men det er i frames da dem der har adgang til siden (mine kollegaer)
ikke må have adgang til alle informationer på en gang... dette kunne de
nok få ved at lave en session og så kende de forskellige strings og
recordset værdier...

men nok om det... jeg mangler stadig et alternativ... jeg vil nemlig
gerne af med de forbandede frames... som det er nu har jeg nemlig kun
brugt en frame og den er der kun for at forhindre folk i at se stien...

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

> men nok om det... jeg mangler stadig et alternativ... jeg vil nemlig
> gerne af med de forbandede frames... som det er nu har jeg nemlig kun
> brugt en frame og den er der kun for at forhindre folk i at se stien...

Jeg må nok indrømme at jeg ikke kan være med på jeres niveau, men hvad med
scramble koden ? og så bruge et .js til at forhindre siden i at vise stien
??
mvh.
Christoffer

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Christian Epstein wrote:

> men nok om det... jeg mangler stadig et alternativ... jeg vil nemlig
> gerne af med de forbandede frames... som det er nu har jeg nemlig kun
> brugt en frame og den er der kun for at forhindre folk i at se
> stien...

.... som man uden problemer kan kopiere ved at højreklikke på linket. Dette
gælder, uanset om man bruger IE, Mozilla eller Opera. Så det argument for at
bruge frames er ikke en lunken bajer værd.

Eneste farbare vej for at beskytte følsome oplysninger mod uvedkommende øjne
er den allerede foreslåede serverside-scripting, der tjekker, hvem der beder
om hvilke oplysninger og om vedkommende må se disse oplysninger.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://hjem.get2net.dk/egin

---

Erik Ginnerskov wrote in dk.edb.internet.webdesign.html:
> Christian Epstein wrote:
>
> > men nok om det... jeg mangler stadig et alternativ... jeg vil nemlig
> > gerne af med de forbandede frames... som det er nu har jeg nemlig kun
> > brugt en frame og den er der kun for at forhindre folk i at se
> > stien...
>
> .... som man uden problemer kan kopiere ved at højreklikke på linket. Dette
> gælder, uanset om man bruger IE, Mozilla eller Opera. Så det argument for at
> bruge frames er ikke en lunken bajer værd.
>
> Eneste farbare vej for at beskytte følsome oplysninger mod uvedkommende øjne
> er den allerede foreslåede serverside-scripting, der tjekker, hvem der beder
> om hvilke oplysninger og om vedkommende må se disse oplysninger.
>
> --
> Med venlig hilsen
> Erik Ginnerskov
> http://hjemmesideskolen.dk - http://html-faq.dk
> http://hjem.get2net.dk/egin

Som tidligere nævnt er det allerede gjort... og med encryptede passwords...
hvad kan jeg så gøre... bare fjerne framesne, og håbe der ikke er nogen der
synes det er en god idé at ændre på variable... I øvrigt er der et script der
gør at siderne kun må åbnes i frames, så de ikke selv kan ændre stringsne
osv...

/Christian

P.S. lige nu er alt muligt, vi skal nemlig først være færdige om et par
timer... ***SUK*** ellers bliver framesne stående...

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Christian Epstein <epstein_NOSPAM_@sol.dk> wrote:

> Som tidligere nævnt er det allerede gjort... og med encryptede
> passwords... hvad kan jeg så gøre... bare fjerne framesne, og håbe
> der ikke er nogen der synes det er en god idé at ændre på
> variable...

Jamen, hvis I allerede har et loginsystem, så burde der jo ikke være
noget til hinder for at udvide det med restriktioner for de enkelte
brugere? Sammenhold brugeren og dennes rettigheder med hvad
vedkommende forsøger at tilgå. Den relevante information hentes kun
fra databasen, såfremt vedkommende har ret til at se det.

Hvis de bagvedliggende serverside scripts og databasestrukturen
ellers er fornuftigt opbygget, er det da ingen sag at forhindre
uretmæssig tilgang til materialet.

> I øvrigt er der et script der gør at siderne kun må
> åbnes i frames, så de ikke selv kan ændre stringsne osv...

Hvilken type information sendes der da med i URLen?

Jeg har ærligt talt svært ved at se, *hvad* der er problemet; hvilken
information kan dog sendes med en URI, som brugeren i kraft af sin
tavshedspligt og rettigheder ikke i forvejen er berettiget til at se
med dertil hørende ansvar omkring fortrolighed?!

--
Anders Thorsen Holm | http://www.daimi.au.dk/~zoolook/

Overvejer du at købe en DVD-afspiller? Så hold dig fra Fona!
Læs hvorfor: http://www.daimi.au.dk/~zoolook/fona/

---

Anders Thorsen Holm wrote in dk.edb.internet.webdesign.html:
> Christian Epstein <epstein_NOSPAM_@sol.dk> wrote:
>
> > Som tidligere nævnt er det allerede gjort... og med encryptede
> > passwords... hvad kan jeg så gøre... bare fjerne framesne, og håbe
> > der ikke er nogen der synes det er en god idé at ændre på
> > variable...
>
> Jamen, hvis I allerede har et loginsystem, så burde der jo ikke være
> noget til hinder for at udvide det med restriktioner for de enkelte
> brugere? Sammenhold brugeren og dennes rettigheder med hvad
> vedkommende forsøger at tilgå. Den relevante information hentes kun
> fra databasen, såfremt vedkommende har ret til at se det.
>
> Hvis de bagvedliggende serverside scripts og databasestrukturen
> ellers er fornuftigt opbygget, er det da ingen sag at forhindre
> uretmæssig tilgang til materialet.
>
> > I øvrigt er der et script der gør at siderne kun må
> > åbnes i frames, så de ikke selv kan ændre stringsne osv...
>
> Hvilken type information sendes der da med i URLen?
>
> Jeg har ærligt talt svært ved at se, *hvad* der er problemet; hvilken
> information kan dog sendes med en URI, som brugeren i kraft af sin
> tavshedspligt og rettigheder ikke i forvejen er berettiget til at se
> med dertil hørende ansvar omkring fortrolighed?!
>
> --
> Anders Thorsen Holm http://www.daimi.au.dk/~zoolook/
>
> Overvejer du at købe en DVD-afspiller? Så hold dig fra Fona!
> Læs hvorfor: http://www.daimi.au.dk/~zoolook/fona/

Problemet er blevet løst på følgende måde, hehe, der er blevet lavet
tre databaser i stedet for to... tildligere var der en database med
bruger oplysninger (alt hvad vi ved om brugeren undtagen data), og en
med bruger data (det vil sige, navn addresse og tlf nummer). Disse
databaser havde så begge en henvisning til id I den anden database, men
istedet er der oprettet en seperat database med de to id (der så bliver
krypteret...)

Tak for hjælpen alle sammen...

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

On 09 May 2004 15:24:32 GMT, Christian Epstein <epstein_NOSPAM_@sol.dk>
wrote:

> hvad kan jeg så gøre... bare fjerne framesne, og håbe der ikke er nogen
> der
> synes det er en god idé at ændre på variable...

En løsning, - der er umiddelbart minder meget om frames løsningen og
derfor heller ikke er mere sikker - ville være at på serversiden kopiere
indholdet af din querystring til en session og så redirecte til en side,
som tager indholdet fra en session i stedet for en querystring.

Jeg vil ikke anse det som en brugbar løsning, hvilket jeg heller ikke
anser frames løsningen for.
Man ved aldrig hvor meget folk ved, heller ikke selvom det er et internt
system (med mindre der kun er én bruger - og det vel at mærke er en selv).
Den eneste brugbare løsning er simpelthen at sætte det ordentligt op på
serversiden, så folk ikke kan få adgang til andres oplysninger med midnre
de kender deres kodeord.

Så er der også lidt mere arbejde, og jeg går da ud fra, at du bliver
betalt for det.

--
Ryan Kristensen