Kandu.dk - Få tilsendt glemt login info til e-mail


/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

ASP

#	Navn	Point
1	smorch	9259
2	Harlekin	1866
3	molokyle	1040
4	Steffanst..	758
5	gandalf	657
6	smilly	564
7	gibson	560
8	cumano	530
9	MouseKeep..	480
10	Random	410

Få tilsendt glemt login info til e-mail
Fra : Lars Engell

Dato : 26-02-07 22:30

Hej

Jeg har et login system på min hjemmeside. Er lavet via Access
DB. I DB har jeg brugernavn, password og e-mail adressen.

Nu mangler jeg bare at brugerne, hvis de glemmer deres brugernavn
og password, kan indtaste deres mail adresse i en formular og
derefter få tilsendt det til deres mail.

Håber nogen kan hjælpe mig med en sådan formular?

Mvh
Lars

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jens Gyldenkærne Cla~ (26-02-2007)

Kommentar
Fra : Jens Gyldenkærne Cla~

Dato : 26-02-07 22:55

Lars Engell skrev:

> Nu mangler jeg bare at brugerne, hvis de glemmer deres brugernavn
> og password, kan indtaste deres mail adresse i en formular og
> derefter få tilsendt det til deres mail.

Princippet er simpelt:

1) Hent mailadressen fra formen
2) Tjek om den giver mening som mailadresse (sikring mod sql-
injection og andre typer angreb)
3) Forespørg databasen efter et login med den pågældende
mailadresse
4) Hvis et login er fundet, send det med adgangskode til
mailadressen
4b) Hvis der ikke findes et login, så giv en passende
fejlmeddelelse.

Noget andet er så at det normalt er en dårlig ide at gemme
adgangskoder i klartekst. Dels kan folk med lovlig adgang til
databasen komme under mistanke hvis en adgangskode bliver misbrugt,
og dels kan hackere og andre kriminelle få adgang til at misbruge
mange folks login hvis de får fingre i databasen.

En langt sikrere måde er at gemme en hash-værdi af adgangskoden i
databasen, og så sammenligne hash-værdierne i stedet for de
originale værdier når man tjekker adgangskoder. Da man ikke kan
"vende" en hash-funktion, kan man ikke få fat i adgangskoden hvis
man alene har hash-værdien af koden. Dermed er skadevirkningen af
uautoriseret adgang til databasen drastisk minimeret.

Ulempen er så at man ikke kan give folk deres adgangskode pr. mail.
Man kan i stedet gøre det muligt at generere en ny adgangskode via
mail - sådan en funktion kan fx sende et unikt link til
mailadressen, som så skal aktiveres inden en given tidsfrist for at
oprette en ny adgangskode.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Lars Engell (26-02-2007)

Kommentar
Fra : Lars Engell

Dato : 26-02-07 23:14

Jens GyldenkærneClausen wrote in
dk.edb.internet.webdesign.serverside.asp:
> Lars Engell skrev:
>
> > Nu mangler jeg bare at brugerne, hvis de glemmer deres brugernavn
> > og password, kan indtaste deres mail adresse i en formular og
> > derefter få tilsendt det til deres mail.
>
> Princippet er simpelt:
>
> 1) Hent mailadressen fra formen
> 2) Tjek om den giver mening som mailadresse (sikring mod sql-
> injection og andre typer angreb)
> 3) Forespørg databasen efter et login med den pågældende
> mailadresse
> 4) Hvis et login er fundet, send det med adgangskode til
> mailadressen
> 4b) Hvis der ikke findes et login, så giv en passende
> fejlmeddelelse.
>
Jeg er desværre ikke god nok til at udføre ovenstående, jeg har brug
for hjælp til at skrive koderne. Faktisk er det nok et komplet script
jeg har brug for, håber på lidt hjælp!!!

> Noget andet er så at det normalt er en dårlig ide at gemme
> adgangskoder i klartekst. Dels kan folk med lovlig adgang til
> databasen komme under mistanke hvis en adgangskode bliver misbrugt,
> og dels kan hackere og andre kriminelle få adgang til at misbruge
> mange folks login hvis de får fingre i databasen.
>
> En langt sikrere måde er at gemme en hash-værdi af adgangskoden i
> databasen, og så sammenligne hash-værdierne i stedet for de
> originale værdier når man tjekker adgangskoder. Da man ikke kan
> "vende" en hash-funktion, kan man ikke få fat i adgangskoden hvis
> man alene har hash-værdien af koden. Dermed er skadevirkningen af
> uautoriseret adgang til databasen drastisk minimeret.
>

Jeg er desværre slet ikke god nok til at lave ovenstående.

> Ulempen er så at man ikke kan give folk deres adgangskode pr. mail.
> Man kan i stedet gøre det muligt at generere en ny adgangskode via
> mail - sådan en funktion kan fx sende et unikt link til
> mailadressen, som så skal aktiveres inden en given tidsfrist for at
> oprette en ny adgangskode.

Det er ikke alle og enhver der skal have adgang. Det er til en lille
sportsforening, hvor det kun er medlemmer der kan få adgang til de
beskyttede sider.

> --
> Jens Gyldenkærne Clausen
> Svar venligst under det du citerer, og citer kun det der er
> nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
> hvordan på http://usenet.dk/netikette/citatteknik.html

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jørn Andersen (27-02-2007)

Kommentar
Fra : Jørn Andersen

Dato : 27-02-07 04:44

On 26 Feb 2007 22:14:17 GMT, Lars Engell <larsengell@hotmail.com> wrote:

>Det er ikke alle og enhver der skal have adgang. Det er til en lille
>sportsforening, hvor det kun er medlemmer der kan få adgang til de
>beskyttede sider.

Det er sådan set ikke det, der er problemet her. Problemet er, at hvis
dine adgangskoder gemmes i klar tekst, så har *du* som administrator
adgang til dem.

Og efter som vi ved, at folk genbruger deres adgangskoder fra "dyre"
ting (som fx netbanken) til simple ting som adgang til en hjemmeside, så
*kan* du i princippet have mulighed for indirekte adgang til andre folks
netbank.

Det er for så vidt ikke noget problem, fordi du jo er en ærlig mand.

Men lad os sige, at en anden person (ad anden vej) fik adgang til et af
dine medlemmers netbank (eller hvad det nu måtte være) og flyttede rundt
på millionerne, så /kunne/ *du* være under mistanke - uden at være i
stand til at afvise mistanken.

Eller hvis en anden - fx en medarbejder på dit webhotel - fik adgang til
jeres login-database og misbrugte adgangskoderne, så ville *du* igen
være under mistanke (uberettiget) eller kunne kritiseres for at have
givet mulighed for denne adgang (berettiget).

Derfor skal man *altid* hash'e sine adgangskoder - selv til helt banale
applikationer.

Det er heldigvis ikke særligt svært, da Jesper Stocholm har skrevet en
glimrende lille artikel + uploadet koden til 2 forskellige
hash-funktioner (MD5 og SHA1):
<url: http://www.asp-faq.dk/article/?id=52>

Good luck,
Jørn

--
Jørn Andersen, Brønshøj
ALLE danske tropper HJEM fra Irak, NU
Skriv under: www.kirkmand-initiativet.dk
Demonstrér 17. marts: www.nejtilkrig.dk

Jens Gyldenkærne Cla~ (27-02-2007)

Kommentar
Fra : Jens Gyldenkærne Cla~

Dato : 27-02-07 11:14

Jørn Andersen skrev:

> Og efter som vi ved, at folk genbruger deres adgangskoder fra
> "dyre" ting (som fx netbanken) til simple ting som adgang til
> en hjemmeside, så *kan* du i princippet have mulighed for
> indirekte adgang til andre folks netbank.

For en ordens skyld bør man nævne at netbanker baserer deres
sikkerhed på mere end en adgangskode (typisk er der en nøglefil der
skal findes på den lokale computer for at man kan logge ind).

Men det problem du beskriver er helt reelt - mange bruger den samme
adgangskode masser af steder, så selv om et site kun rummer mindre
følsomme oplysninger, kan man ikke vide om en afluret adgangskode
vil blive brugt til at skaffe langt alvorligere oplysninger.
--
Bolig søges. Andel eller leje i Emdrup, Nordvest, Nørrebro, Søborg
eller Brønshøj, max 6000 pr. måned.
Kontakt pr. mail - nospam(at)gyros.dk
Jens Gyldenkærne Clausen

Rune Jensen (26-02-2007)

Kommentar
Fra : Rune Jensen

Dato : 26-02-07 23:26

"Lars Engell" skrev i en meddelelse...

> Nu mangler jeg bare at brugerne, hvis de glemmer deres brugernavn
> og password, kan indtaste deres mail adresse i en formular og
> derefter få tilsendt det til deres mail.

Du kan sikkert få inspiration her:
http://www.aspwebpro.com/aspscripts/websitetools/forgotpassword.asp

Samt på listen på Google:
http://www.google.dk/search?hl=da&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=forgot+password+script+asp&spell=1

MVH
Rune Jensen

--
www.discolight.dk - udlejning af lys og lydudstyr til festen
www.ilmark.dk - privat billedgalleri

Ukendt (26-02-2007)

Kommentar
Fra : Ukendt

Dato : 26-02-07 23:36

"Lars Engell skrev

> Jeg har et login system på min hjemmeside. Er lavet via Access
> DB. I DB har jeg brugernavn, password og e-mail adressen.
>
> Nu mangler jeg bare at brugerne, hvis de glemmer deres brugernavn
> og password, kan indtaste deres mail adresse i en formular og
> derefter få tilsendt det til deres mail.
>

Søg og du skal finde.

Google:
http://www.google.com/search?q=forgotten+password+script+asp

F.eks.
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?lngWId=4&txtCodeId=6422
Jeg har ikke testet koden til download, men den ser umiddelbart OK ud.

/Erling

Søg

Reklame

Statistik

Spørgsmål :	177459
Tips :	31964
Nyheder :	719565
Indlæg :	6408186
Brugere :	218881

Månedens bedste

Årets bedste

Sidste års bedste