/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Protware
Fra : Kasper Dupont


Dato : 26-05-02 12:52

Jeg læste i Ingeniøren en lille notits om protware.

http://www.protware.com/

Det er et program til at kryptere websider, og der
er stort set ingen ende på løfterne.

Nu tror jeg ikke på, at ret meget af det, der loves,
faktisk er muligt. Halvdelen faldt da også til
jorden i samme øjeblik jeg slog javascript fra efter
at siden var indlæst.

En kryptering, der sikrer, at siden kun kan ses ved
indtastning af et kodeord, burde være muligt. Men
resten af løfterne kan vel ikke holde?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

 
 
Anders Lund (26-05-2002)
Kommentar
Fra : Anders Lund


Dato : 26-05-02 13:55

Kasper Dupont wrote:
> En kryptering, der sikrer, at siden kun kan ses ved
> indtastning af et kodeord, burde være muligt. Men
> resten af løfterne kan vel ikke holde?

Jeg åbnede siden i Opera .. og gik ind på deres demo side, og trykkede mig
videre. Så spurgte den om password, hvilket jeg ikke lige havde læst på den
forrigeside. Derfor trykkede jeg Cancel og fik en besked om forkert
password. Derefter trykkede jeg "Back" i browseren og vupti - der kom den
hemmelige side frem!

Underligt....

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/


Kasper Dupont (26-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 26-05-02 14:10

Anders Lund wrote:
>
> Kasper Dupont wrote:
> > En kryptering, der sikrer, at siden kun kan ses ved
> > indtastning af et kodeord, burde være muligt. Men
> > resten af løfterne kan vel ikke holde?
>
> Jeg åbnede siden i Opera .. og gik ind på deres demo side, og trykkede mig
> videre. Så spurgte den om password, hvilket jeg ikke lige havde læst på den
> forrigeside. Derfor trykkede jeg Cancel og fik en besked om forkert
> password. Derefter trykkede jeg "Back" i browseren og vupti - der kom den
> hemmelige side frem!

Hvilken version af Opera bruger du? Jeg prøvede med
opera-5.0-static.i386, og der får jeg bare en helt
blank side.

Faktisk var siden umulig at se med mere end halvdelen
af de browsere jeg prøvede. Og så lover de enda, at
produktet også kan give flere besøgende, hvordan kan
det hænge sammen?

Men hvis du rent faktisk så nemt kunne slippe uden om
password beskyttelsen, betyder det jo, at den eneste
feature, der i teorien kunne lade sig gøre, heller
ikke virker.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Anders Lund (26-05-2002)
Kommentar
Fra : Anders Lund


Dato : 26-05-02 14:22

Kasper Dupont wrote:
> Hvilken version af Opera bruger du? Jeg prøvede med
> opera-5.0-static.i386, og der får jeg bare en helt
> blank side.

Jeg bruger Opera 6.02 til Windows 2000

> Men hvis du rent faktisk så nemt kunne slippe uden om
> password beskyttelsen, betyder det jo, at den eneste
> feature, der i teorien kunne lade sig gøre, heller
> ikke virker.

Ja, det ser sådan ud. Jeg har skrevet til deres tekniske afdeling for at få
en forklaring. Så nu kan jeg bare vente på et svar.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/


Alex Holst (26-05-2002)
Kommentar
Fra : Alex Holst


Dato : 26-05-02 14:13

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Jeg læste i Ingeniøren en lille notits om protware.
>
> http://www.protware.com/

Nuppet til snakeoil.dk -- tak for det.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Jens Axel Søgaard (27-05-2002)
Kommentar
Fra : Jens Axel Søgaard


Dato : 27-05-02 10:15

Alex Holst wrote:
> Nuppet til snakeoil.dk -- tak for det.
Det ser ud som om, du godt kan lide journalister

(http://www.snakeoil.dk/kontakt)
--
Jens Axel Søgaard




Thor Larholm (26-05-2002)
Kommentar
Fra : Thor Larholm


Dato : 26-05-02 14:27

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3CF0CC47.BC231E9D@daimi.au.dk...
> Jeg læste i Ingeniøren en lille notits om protware.
>
> http://www.protware.com/

Protware er ikke kryptering, det er obfuskering. Derudover har Protware ikke
lavet noget som helst nyt, det eneste deres program gør er at bruge den
allerede eksisterende (og gratis) Windows Script Encoder fra Microsoft.

Det er ikke alene snakeoil, det er også et 100% unødvendigt program.

Hvis du vil læse lidt om Script Encoder samt hvordan den "skjuler" kode, kan
du kigge på

http://www.klaphek.nl/nr6/scrdec.html

hvor du også kan finde en decoder.

--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities



Ole Thomsen (26-05-2002)
Kommentar
Fra : Ole Thomsen


Dato : 26-05-02 14:26

"Kasper Dupont" <kasperd@daimi.au.dk> wrote
>
> http://www.protware.com/

Og så vil de også bestemme hvor stort mit browservindue
skal være, hundehoveder, hængerøve....skidesprællere,
amatører og elendige socialdemokrater!

Ole Thomsen




Niels Callesøe (26-05-2002)
Kommentar
Fra : Niels Callesøe


Dato : 26-05-02 14:38

Kasper Dupont wrote in <news:3CF0CC47.BC231E9D@daimi.au.dk>:

> En kryptering, der sikrer, at siden kun kan ses ved
> indtastning af et kodeord, burde være muligt.

Jeg tvivler. I hvert fald fungerer deres HTML-protection ikke ret
godt.. sourcen til deres "beskyttede" HTLM-side findes let med et
lille java-script kunst-greb.

Åben siden og paste følgende i addresse-linien. Tryk Enter. Vupti.

javascript:str=window.open('','source');str.document.write('<TEXTAREA%20rows=30%20cols=72>'+document.body.outerHTML+'</TEXTAREA>');void(0)

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

Kent Friis (26-05-2002)
Kommentar
Fra : Kent Friis


Dato : 26-05-02 15:16

Den 26 May 2002 13:37:34 GMT skrev Niels Callesøe:
>Kasper Dupont wrote in <news:3CF0CC47.BC231E9D@daimi.au.dk>:
>
>> En kryptering, der sikrer, at siden kun kan ses ved
>> indtastning af et kodeord, burde være muligt.
>
>Jeg tvivler. I hvert fald fungerer deres HTML-protection ikke ret
>godt.. sourcen til deres "beskyttede" HTLM-side findes let med et
>lille java-script kunst-greb.
>
>Åben siden og paste følgende i addresse-linien. Tryk Enter. Vupti.
>
>javascript:str=window.open('','source');str.document.write('<TEXTAREA%20rows=30%20cols=72>'+document.body.outerHTML+'</TEXTAREA>');void(0)

Kan man ikke nøjes med at vælge "View source"?

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

Niels Callesøe (26-05-2002)
Kommentar
Fra : Niels Callesøe


Dato : 26-05-02 15:26

Kent Friis wrote in <news:acqqmv$s3k$2@sunsite.dk>:

> Kan man ikke nøjes med at vælge "View source"?

Nej.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

Kent Friis (26-05-2002)
Kommentar
Fra : Kent Friis


Dato : 26-05-02 15:46

Den 26 May 2002 14:25:43 GMT skrev Niels Callesøe:
>Kent Friis wrote in <news:acqqmv$s3k$2@sunsite.dk>:
>
>> Kan man ikke nøjes med at vælge "View source"?
>
>Nej.

Sorry, jeg læste det som "for at se koden til at dekryptere siden"...

Dit javascript havde dog ingen effekt her.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Niels Callesøe (26-05-2002)
Kommentar
Fra : Niels Callesøe


Dato : 26-05-02 15:51

Kent Friis wrote in <news:acqsg3$664$1@sunsite.dk>:

>>> Kan man ikke nøjes med at vælge "View source"?
>>
>>Nej.
>
> Sorry, jeg læste det som "for at se koden til at dekryptere siden"...
>
> Dit javascript havde dog ingen effekt her.

Mustisk. Jeg har dog kun testet det i IE5.5, så måske er det et IE-only
trix. Jeg er ikke nogen JavaScript expert.

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

Kent Friis (26-05-2002)
Kommentar
Fra : Kent Friis


Dato : 26-05-02 15:14

Den Sun, 26 May 2002 13:51:35 +0200 skrev Kasper Dupont:
>Jeg læste i Ingeniøren en lille notits om protware.
>
>http://www.protware.com/
>
>Det er et program til at kryptere websider, og der
>er stort set ingen ende på løfterne.
>
>Nu tror jeg ikke på, at ret meget af det, der loves,
>faktisk er muligt. Halvdelen faldt da også til
>jorden i samme øjeblik jeg slog javascript fra efter
>at siden var indlæst.

Mit resultat:

siden blev automatisk de-"krypteret", helt uden jeg skulle indtaste et
password. Mozila 1.0rc2, med "allow scripts to open unrequested windows"
slået fra.

>En kryptering, der sikrer, at siden kun kan ses ved
>indtastning af et kodeord, burde være muligt. Men
>resten af løfterne kan vel ikke holde?

Men hvorfor?

Password-beskyttelse virker serverside, og yder bedre beskyttelse (fx.
kan et brute-force angreb stoppes ved at spærre et ip-nr. efter 5
mislykkede forsøg).

For mig at se giver det ikke nogen fordele, kun ekstra problemer for
læserne af siden - fx. kræver de at man har javascript slået til. Dertil
kommer at de ævler om at man ikke kan kopiere fra siden - det
forudsætter samarbejde fra browseren, og at den der læser siden ikke
selv kan læse javascript, og de-"kryptere" siden.

Skal noget krypteres, så det kun er den rigtige modtager der kan se det,
bruger man HTTPS, og skal det password-beskyttes, bruger man .htaccess.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Kasper Dupont (26-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 26-05-02 15:50

Kent Friis wrote:
>
> siden blev automatisk de-"krypteret", helt uden jeg skulle indtaste et
> password. Mozila 1.0rc2, med "allow scripts to open unrequested windows"
> slået fra.

Det kunne være jeg skulle opgradere, den feature har jeg
savnet i mange år. Hvad angår "krypteringen" er den åbenbart
fuldstændig forkert implementeret. Havde den været rigtigt
lavet, ville det være praktisk taget umuligt at dekryptere
uden kodeord.

>
> >En kryptering, der sikrer, at siden kun kan ses ved
> >indtastning af et kodeord, burde være muligt. Men
> >resten af løfterne kan vel ikke holde?
>
> Men hvorfor?

Godt spørgsmål, der findes da utroligt mange andre
alternativer.

>
> Password-beskyttelse virker serverside, og yder bedre beskyttelse (fx.
> kan et brute-force angreb stoppes ved at spærre et ip-nr. efter 5
> mislykkede forsøg).

Til gengæld sender du så password og dokument i klartekst.
(Medmindre du bruger https/SSL)

>
> For mig at se giver det ikke nogen fordele, kun ekstra problemer for
> læserne af siden - fx. kræver de at man har javascript slået til. Dertil
> kommer at de ævler om at man ikke kan kopiere fra siden - det
> forudsætter samarbejde fra browseren, og at den der læser siden ikke
> selv kan læse javascript, og de-"kryptere" siden.

Det er jeg fuldstændig enig i.

>
> Skal noget krypteres, så det kun er den rigtige modtager der kan se det,
> bruger man HTTPS, og skal det password-beskyttes, bruger man .htaccess.

Det kan jeg kun give dig ret i.

> You haven't seen _multitasking_ until you've seen Doom and
> Quake run side by side



--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste