/ Forside / Teknologi / Internet / Browser / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Browser
#NavnPoint
Klaudi 20366
molokyle 12124
o.v.n. 8114
miritdk 4839
stl_s 3840
refi 3598
dk 2598
arlet 2470
tedd 2383
10  webnoob 2075
Sikkerhedsspørgsmål
Fra : Ukendt


Dato : 11-08-04 14:13

En webapplikation baseret på asp har et login bestående af brugernavn
og password. Dette bliver valideret op mod en sql-server, som via user
accounts på selve SQL-serveren giver adgang eller ej.

Brugernavn/kodeord sendes ukrypteret. Hvad betyder det for
sikkerheden, såvel praktisk som teoretisk?


mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

 
 
Anders Lund (11-08-2004)
Kommentar
Fra : Anders Lund


Dato : 11-08-04 14:46

Morten Snedker wrote:
> En webapplikation baseret på asp har et login bestående af brugernavn
> og password. Dette bliver valideret op mod en sql-server, som via user
> accounts på selve SQL-serveren giver adgang eller ej.

Lige et sidespørgemål - validere du de inputs (brugernavn og password)
inden du giver dem til SQL serveren?

> Brugernavn/kodeord sendes ukrypteret. Hvad betyder det for
> sikkerheden, såvel praktisk som teoretisk?

Det der kan ske er at de datapakker som suser rundt på netværket
(herunder Internettet) kan bliver læst af andre. Dette kan gøres med et
"sniffer" program og er ikke særlig svært at gøre.

I praktis har jeg forstået det sådan at man ikke kan sniffer pakkerne på
Internettet. Eller retter, det kan man, men man skal have kontrol over
en af de routere på vejen imellem browseren og webserveren. Dette tror
jeg ikke selv er noget som sker ret ofte.

En anden form for sikkerhed man kan have sammen med krypteringen er
certifikater. Dvs. at man kan stole på at man har forbindelse til den
rette server. Dette er for at fohindre "man-in-the-middel" angreb, hvor
du forbinder dig til hjemmesiden og logger ind. Men hvad du ikke ved er
at hjemmesiden er falsk og du giver login oplysningerne til den falske
side, som så kontakter den rigtige side og på den måde finder du ikke ud
af at du har givet login oplysningerne til den forkerte.

At man bruger certifikater sammen med kryptering er en vigtig ting, for
hvis man ikke kan stole på at man har fat i den rigtige server, kan det
være lige meget med kryptering.

Jeg har dog ingen (eller blot ringe) erfaring med kryptering og
certifikater, så jeg kan ikke tale med om løsninger eller sige at
tingene er 100% som jeg lige har skrevet det. Men nu har du noget at
tænke over. :)

--
Anders Lund - anders@andersonline.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste