---

Hejsa..

jeg har set at mange steder, når folk spørger hvordan man laver
en mailform, så skriver de at man skal skrive noget med.
<input type="hidden" name="to" value="minmail@minhjemmeside.dk">
(bare eksempel jeg lige hurtigt skrev.)

men hvis der bliver sendt vigtige informationer, er det meget
nemt for en hacker at gå ind og skrive sin egen mail, så
informationerne bliver sendt til ham istedet.

fx. i browseren skriver man:
javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
)

Hvorfor skriver folk sådan en stor sikkerheds fejl??

og ja jeg har fundet en måde at undgå hackerne, ved at sætte
tingene ind i en php fil, som sender filen.

Ralle - Dette indlæg er lavet for at folk kan debattere tingene!

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Ralle <ralle_rass@hotmail.com> writes:

> Hejsa..
>
> jeg har set at mange steder, når folk spørger hvordan man laver
> en mailform, så skriver de at man skal skrive noget med.
> <input type="hidden" name="to" value="minmail@minhjemmeside.dk">
> (bare eksempel jeg lige hurtigt skrev.)
>
> men hvis der bliver sendt vigtige informationer, er det meget
> nemt for en hacker at gå ind og skrive sin egen mail, så
> informationerne bliver sendt til ham istedet.
>
> fx. i browseren skriver man:
> javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
> )
>
> Hvorfor skriver folk sådan en stor sikkerheds fejl??

Fordi folk ikke overvejer sikkerhedsaspektet? Jeg er ikke helt med
paa hvor du vil hen?

--
Christian Joergensen | Linux, programming or web consultancy
http://www.razor.dk | Visit us at: http://www.gmta.info

---

Christian Joergensen wrote in
dk.edb.internet.webdesign.serverside.php:
> Ralle <ralle_rass@hotmail.com> writes:
>
> > Hejsa..
> >
> > jeg har set at mange steder, når folk spørger hvordan man laver
> > en mailform, så skriver de at man skal skrive noget med.
> > <input type="hidden" name="to" value="minmail@minhjemmeside.dk">
> > (bare eksempel jeg lige hurtigt skrev.)
> >
> > men hvis der bliver sendt vigtige informationer, er det meget
> > nemt for en hacker at gå ind og skrive sin egen mail, så
> > informationerne bliver sendt til ham istedet.
> >
> > fx. i browseren skriver man:
> >
javascript:void(document.forms[0].to.value="nymail@nytdomæne.com"
> > )
> >
> > Hvorfor skriver folk sådan en stor sikkerheds fejl??
>
> Fordi folk ikke overvejer sikkerhedsaspektet? Jeg er ikke helt med
> paa hvor du vil hen?
>

Vil ikke rigtigt noget sted hen med det, sys bare det er underligt
at hjemmesider som ser så professionelle ud, laver en tutorial hvor
der er sådan et sikkerhedshul.

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Ralle skrev:

> Vil ikke rigtigt noget sted hen med det, sys bare det er underligt
> at hjemmesider som ser så professionelle ud, laver en tutorial hvor
> der er sådan et sikkerhedshul.

Næste gang du ser en 'professionel' side, så kør den en tur
igennem validatoren:

   http://validator.w3.org/

Så skifter du måske mening. Fejlagtige sider laves af folk der
"bare skal have tingene til at virke og ikke tager det så nøje
med lidt ukorrekt kode". De tænker slet ikke på sikkerhed.

Et større 'professionelt' firma søsatte et større projekt hvos de
skulle styre pengeoverførsler på nettet hvilket bl.a. involverede
registrering af personnumre. De havde lavet den sikkerhedsbrist
som står på side 1 i begynderens lærebog i sikkerhed på nettet.
Det betød at *enhver* kunne trække *alle* oplysninger ud af deres
database ved at skrive en linje i sin browsers adressefelt.

Valus var navnet, og fejlen var manglende validering af
brugerinput (kodeinjektion).

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/