---

Hejsa

Hvis jeg gerne vil køre et godt gammeldags passwordcheck, hvad gør jeg så ?

Der er som sædvanlig to felter:
1. De skal begge udfyldes
2. De skal udfyldes identisk


Mvh. Nikolaj Schulz
schulz@lauritz.dk

---

"Nikolaj Schulz" <schulz@lauritz.dk> wrote in
<ZXYH6.160$vW.53449@news.get2net.dk>:

>Hejsa
>
>Hvis jeg gerne vil køre et godt gammeldags passwordcheck, hvad gør jeg
>så ?
>
>Der er som sædvanlig to felter:
>1. De skal begge udfyldes
>2. De skal udfyldes identisk
>

Noget i stil med:

if($pw1 && $pw2){
   if($pw1 == $pw2){
       "Gør et-eller-andet med $pw1 og $pw2";
       }
   else{
       echo "Fejl i indtastning, password ikke ens";
       }
else{
   echo "Password skal indtastes to gange";
}

Hvor $pw1 og $pw2 selvsagt er de indtastede passwords.

--
mvh
Kasper Damkjær

---

> Hvis jeg gerne vil køre et godt gammeldags passwordcheck, hvad gør jeg så
?
>
> Der er som sædvanlig to felter:
> 1. De skal begge udfyldes
> 2. De skal udfyldes identisk

Clientside er svaret - lav det i javascript:

<script type="text/javascript" language="javascript">
function chkPass()
{
if ((document.formen.pass1.value.length == 0) ||
(document.formen.pass1.value != document.formen.pass2.value))
{
alert("Du skal udfylde passwordfelterne (ens)!");
return false;
}
else
return true;
}
</script>

og i form-tag'et laver du:

<form name="formen" onsubmit="return chkPass()" [etc]


--
-
Lars
Husk: Hvis du vil maile mig, er der ingen virkelighed i min mail!

---

On Thu, 3 May 2001 02:20:12 +0200, "Lars Petersen"
<lars@virkelighed.ioflux.net> wrote:

>Clientside er svaret - lav det i javascript:

erhm, nej.
Uanset hvad vil det stadig skulle checkes Serverside.
--
Venlig hilsen / Best regards
Martin Mouritzen - martin@eisenstein.dk
Eisenstein - http://www.eisenstein.dk

---

> >Clientside er svaret - lav det i javascript:
>
> erhm, nej.
> Uanset hvad vil det stadig skulle checkes Serverside.

Ja! =)

Ellers kan man jo gøre som på så mange andre amatør-sider; kigge i sourcen,
og se passwordet... usmart, mildt sagt!

M.V.H, Christian Iversen

---

"Christian Iversen" <iversen@it.dk> wrote in
<9crod0$4a6$1@news.cybercity.dk>:

>> >Clientside er svaret - lav det i javascript:
>>
>> erhm, nej.
>> Uanset hvad vil det stadig skulle checkes Serverside.
>
>Ja! =)
>
>Ellers kan man jo gøre som på så mange andre amatør-sider; kigge i
>sourcen, og se passwordet... usmart, mildt sagt!
>

Nej, du kan godt /validere/ et indtastet password clientside i dette
tilfælde. Der bliver indtastet to x password, og der skulle jo bare checkes
om der var indtastet to ENS passwords. Fordelen ved at gøre det clientside
med en alertbox, er at folk ikke kommer væk fra formularsiden i tilfældeaf
fejl.

Men du har ret i at passwordbeskyttelse, med pw stående i javascript koden
mildest talt er usmart :) I øvrigt synes jeg også selv bedst om at gøre det
i PHP.

--
mvh
Kasper Damkjær

---

On Thu, 03 May 2001 14:47:39 GMT, Kasper Damkjær wrote:

> Fordelen ved at gøre det clientside
> med en alertbox, er at folk ikke kommer væk fra formularsiden i tilfældeaf
> fejl.

Og det er en fordel fordi?

--
Søren O.

Ja, ja, den er god med dig.

---

Kasper Damkjær <kd42@hotmail.com> wrote:

> Fordelen ved at gøre det clientside
> med en alertbox, er at folk ikke kommer væk fra
> formularsiden i tilfældeaf fejl.

Nej. Fordelen ved at gøre det clientside er at det aflaster
serveren, men du slipper ikke for at køre noget serverside også!

--
Christian Jørgensen
http://www.razor.dk

"Uden cola og hikke - Duer helten ikke!"

---

> >> >Clientside er svaret - lav det i javascript:
> >>
> >> erhm, nej.
> >> Uanset hvad vil det stadig skulle checkes Serverside.
> >
> >Ja! =)
> >
> >Ellers kan man jo gøre som på så mange andre amatør-sider; kigge i
> >sourcen, og se passwordet... usmart, mildt sagt!
> >
>
> Nej, du kan godt /validere/ et indtastet password clientside i dette
> tilfælde. Der bliver indtastet to x password, og der skulle jo bare
checkes
> om der var indtastet to ENS passwords. Fordelen ved at gøre det clientside
> med en alertbox, er at folk ikke kommer væk fra formularsiden i tilfældeaf
> fejl.

I dette tilfælde, hvor kravet om to ens indtastninger er en del af
validationen, ER det en potentiel sikkerhedsbrist at lade brugeren få adgang
til informationen om at de to felter skal udfyldes ens!

> Men du har ret i at passwordbeskyttelse, med pw stående i javascript koden
> mildest talt er usmart :) I øvrigt synes jeg også selv bedst om at gøre
det
> i PHP.
>
Naturligvis! Det er den eneste måde at gøre det på, IMO...

M.V.H, Christian Iversen

---

> >> >Clientside er svaret - lav det i javascript:
> >>
> >> erhm, nej.
> >> Uanset hvad vil det stadig skulle checkes Serverside.
> >
> >Ja! =)
> >
> >Ellers kan man jo gøre som på så mange andre amatør-sider; kigge i
> >sourcen, og se passwordet... usmart, mildt sagt!
> >
>
> Nej, du kan godt /validere/ et indtastet password clientside i dette
> tilfælde. Der bliver indtastet to x password, og der skulle jo bare
checkes
> om der var indtastet to ENS passwords. Fordelen ved at gøre det clientside
> med en alertbox, er at folk ikke kommer væk fra formularsiden i tilfældeaf
> fejl.

I dette tilfælde, hvor kravet om to ens indtastninger er en del af
validationen, ER det en potentiel sikkerhedsbrist at lade brugeren få adgang
til informationen om at de to felter skal udfyldes ens!

> Men du har ret i at passwordbeskyttelse, med pw stående i javascript koden
> mildest talt er usmart :) I øvrigt synes jeg også selv bedst om at gøre
det
> i PHP.
>
Naturligvis! Det er den eneste måde at gøre det på, IMO...

M.V.H, Christian Iversen

---

Christian Iversen <iversen@it.dk> wrote:

> I dette tilfælde, hvor kravet om to ens indtastninger er en
> del af validationen, ER det en potentiel sikkerhedsbrist at
> lade brugeren få adgang til informationen om at de to felter
> skal udfyldes ens!

Hmm.. læs det lige engang selv :)

--
Christian Jørgensen
http://www.razor.dk

"Uden cola og hikke - Duer helten ikke!"

---

> > I dette tilfælde, hvor kravet om to ens indtastninger er en
> > del af validationen, ER det en potentiel sikkerhedsbrist at
> > lade brugeren få adgang til informationen om at de to felter
> > skal udfyldes ens!
>
> Hmm.. læs det lige engang selv :)
>

LOL

Første gang jeg skriver noget sjovt, og jeg opdagede det ikke engang? Hvad
siger det om min humor? Ser jeg ud som om jeg ved det?

Anyways, det skulle være "... at lade en "badguy" få adgang til
informationen om at de to felter skal udfyldes ens!"

M.V.H, Christian Iversen

---

"Christian Iversen" <iversen@it.dk> wrote in <9cs4of$mla$1
@news.cybercity.dk>:

>> > I dette tilfælde, hvor kravet om to ens indtastninger er en
>> > del af validationen, ER det en potentiel sikkerhedsbrist at
>> > lade brugeren få adgang til informationen om at de to felter
>> > skal udfyldes ens!
>>
>> Hmm.. læs det lige engang selv :)
>>
>
>LOL
>
>Første gang jeg skriver noget sjovt, og jeg opdagede det ikke engang? Hvad
>siger det om min humor? Ser jeg ud som om jeg ved det?
>
>Anyways, det skulle være "... at lade en "badguy" få adgang til
>informationen om at de to felter skal udfyldes ens!"
>

Mon ikke man vil skrive på siden at de to pw skal være ens? En badguy kan
vel også læse :)

Det jeg mente, var at lade javascript checke om der er lavet fejl i
indtastning /før/ formen submittes (og valideres endeligt af PHP). Det ser
jeg ingen sikkerhedsrisiko ved.

--
mvh
Kasper Damkjær

---

>
> Mon ikke man vil skrive på siden at de to pw skal være ens? En badguy kan
> vel også læse :)
>

Nå på dén led! =)

Jeg troede at det var en "hemmelighed" at de to felter skulle udfyldes ens.
Hvad var det ellers lige idéen var?

> Det jeg mente, var at lade javascript checke om der er lavet fejl i
> indtastning /før/ formen submittes (og valideres endeligt af PHP). Det ser
> jeg ingen sikkerhedsrisiko ved.

Så er vi enige.

M.V.H. Christian Iversen

---

On Fri, 4 May 2001 23:20:06 +0200, "Christian Iversen" <iversen@it.dk>
wrote:

>Jeg troede at det var en "hemmelighed" at de to felter skulle udfyldes ens.
>Hvad var det ellers lige idéen var?

At man ikke taster sit password forkert ind, dvs. opretter en konti
man ikke kan komme ind på fordi man ikke "har" passwordet til den.
--
Venlig hilsen / Best regards
Martin Mouritzen - martin@eisenstein.dk
Eisenstein - http://www.eisenstein.dk

---

>
> >Jeg troede at det var en "hemmelighed" at de to felter skulle udfyldes
ens.
> >Hvad var det ellers lige idéen var?
>
> At man ikke taster sit password forkert ind, dvs. opretter en konti
> man ikke kan komme ind på fordi man ikke "har" passwordet til den.

Så vil jeg sige "DOH" igen...

Du har naturligvis helt 100% ret. Jeg tænkte på sådan et "billigt"
"forsjov"-check =)

M.V.H, Christian Iversen

---

>
> >Jeg troede at det var en "hemmelighed" at de to felter skulle udfyldes
ens.
> >Hvad var det ellers lige idéen var?
>
> At man ikke taster sit password forkert ind, dvs. opretter en konti
> man ikke kan komme ind på fordi man ikke "har" passwordet til den.

Så vil jeg sige "DOH" igen...

Du har naturligvis helt 100% ret. Jeg tænkte på sådan et "billigt"
"forsjov"-check. Altså et hvor man skulle taste en adgangskode ens ind i to
Text-felter for at komme videre, ikke for at oprette en konto! =)

M.V.H, Christian Iversen

---

Øvøv... mig have dårlig news-client

M.V.H, Mig

---

"Christian Iversen" <iversen@it.dk> wrote in
<9d6d1r$6qn$1@news.cybercity.dk>:

> Øvøv... mig have dårlig news-client

Bare et godt forslag: "Skift den ud."

--
mvh Andreas Kleist Svendsen
http://nau.dk

---

usenetnospam@nau.dk (Andreas Kleist Svendsen) writes:

> "Christian Iversen" <iversen@it.dk> wrote in
> <9d6d1r$6qn$1@news.cybercity.dk>:
>
> > Øvøv... mig have dårlig news-client
>
> Bare et godt forslag: "Skift den ud."

Hvad med Gnus?

(Duck)

--
Jens Axel Søgaard -- http://www.jasoegaard.dk

A Mathematician is a machine for turning coffee into theorems.
- Paul Erdös

---

On Thu, 3 May 2001 16:06:55 +0200, "Christian Iversen" <iversen@it.dk>
wrote:

>> >Clientside er svaret - lav det i javascript:
>>
>> erhm, nej.
>> Uanset hvad vil det stadig skulle checkes Serverside.
>
>Ja! =)
>
>Ellers kan man jo gøre som på så mange andre amatør-sider; kigge i sourcen,
>og se passwordet... usmart, mildt sagt!

Nu snakkede han ikke om at checke passwordet client-side, men så vidt
jeg kunne se, bare om at checke hvorvidt det kan betale sig at
validere passwordet (altså om begge password-felter er udfyldt, og
ens). Ikke noget jeg personligt ville gøre clientside (nok fordi jeg
aldrig har sat mig ind i javascript-fnidder), men det kan da spare for
nogen submits - forudsat det fungerer optimalt altså ;)

--
Jonas Häggqvist
jfh(at)adr(dot)dk

---

Jeg siger mange tak for de righoldige indlæg - hehe - det er jo glimrende -
og det virker rent faktisk.......

"Nikolaj Schulz" <schulz@lauritz.dk> wrote in message
news:ZXYH6.160$vW.53449@news.get2net.dk...
> Hejsa
>
> Hvis jeg gerne vil køre et godt gammeldags passwordcheck, hvad gør jeg så
?
>
> Der er som sædvanlig to felter:
> 1. De skal begge udfyldes
> 2. De skal udfyldes identisk
>
>
> Mvh. Nikolaj Schulz
> schulz@lauritz.dk
>
>