---

Hej

Jeg ønsker at beskytte nogle sider med password. Jeg forestiller mig at
brugernavne og password ligger i Access-database eller lignende...

Kan I anbefale nogle eksempler, jeg kan kigge lidt på?

Torben

---

Torben R. Sørensen skrev:

> Jeg ønsker at beskytte nogle sider med password. Jeg forestiller mig at
> brugernavne og password ligger i Access-database eller lignende...

> Kan I anbefale nogle eksempler, jeg kan kigge lidt på?

Det kan laves med .htaccess. Kender du til brugen af den?

--
Bertel
http://bertel.lundhansen.dk/         FIDUSO: http://fiduso.dk/

---

Forudsat at han er hostet på *nix og ikke har behov for dynamisk at
tilføje brugere. Jeg ville ikke anbefale en sådan løsning uden lige
først at undersøge om det
1. Kan lade sig gøre.
2. Vil dække hans behov.

Regards Jens Peter Karlsen.

On Sat, 26 Sep 2009 22:59:17 +0200, Bertel Lund Hansen
<unospamo@lundhansen.dk> wrote:

>Det kan laves med .htaccess. Kender du til brugen af den?

---

Jens Peter Karlsen skrev:

> tilføje brugere. Jeg ville ikke anbefale en sådan løsning uden lige
> først at undersøge om det

Hvad tror du jeg spørger ham for?

--
Bertel
http://bertel.lundhansen.dk/         FIDUSO: http://fiduso.dk/

---

Du spurgte kun om han kendte til brugen af .htaccess. Det dækker ikke
nogen af de 2 punkter jeg nævnte.

Regards Jens Peter Karlsen.

On Sun, 27 Sep 2009 01:03:11 +0200, Bertel Lund Hansen
<unospamo@lundhansen.dk> wrote:

>Hvad tror du jeg spørger ham for?

---

Jens Peter Karlsen skrev:

> Du spurgte kun om han kendte til brugen af .htaccess. Det dækker ikke
> nogen af de 2 punkter jeg nævnte.

Yderligere debat om min måde at hjælpe folk på kan føres i
e-mail.

--
Bertel
http://bertel.lundhansen.dk/         FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <unospamo@lundhansen.dk> skrev i meddelelsen
news:e40tb5d6m8t65nma0pl90tt7dhqk89nrno@news.stofanet.dk...
> Torben R. Sørensen skrev:
>
>> Jeg ønsker at beskytte nogle sider med password. Jeg forestiller mig at
>> brugernavne og password ligger i Access-database eller lignende...
>
>> Kan I anbefale nogle eksempler, jeg kan kigge lidt på?
>
> Det kan laves med .htaccess. Kender du til brugen af den?
>
Nej det kender jeg ikke...

Torben

---

Her er en simpel tutorial.
http://www.takempis.com/pword.asp

Regards Jens Peter Karlsen.

On Sat, 26 Sep 2009 21:47:10 +0200, Torben R. Sørensen
<torben.soerensen@hotmail.com> wrote:

>Jeg ønsker at beskytte nogle sider med password. Jeg forestiller mig at
>brugernavne og password ligger i Access-database eller lignende...

---

Jens Peter Karlsen wrote:

> Her er en simpel tutorial.
> http://www.takempis.com/pword.asp

Lidt for simpel IMO.

Dit eksempel er sårbar overfor SQL injection, ligesom det at gemme
brugerid/passwords som clear text i cooikes er guf for session hijacking
via XSS.

Jeg vil foreslå spørgeren at spørge ovre i .serverside.asp gruppen, nå han
kommer så langt at han har noget indledende kode.

Forudsat han bruger ASP, men Access eller lignende indikerer det.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Jens Peter Karlsen wrote:
>
>> Her er en simpel tutorial.
>> http://www.takempis.com/pword.asp
>
> Lidt for simpel IMO.
>
> Dit eksempel er sårbar overfor SQL injection, ligesom det at gemme
> brugerid/passwords som clear text i cooikes er guf for session hijacking
> via XSS.

Kan man gemme en hash af brugernavn og pass i cookien i stedet?

Jeg synes også der mangler domain-specificering af cookies.. bruger man
ikke det, så man er sikker på, cookien kommer fra det rigtige domæne?

> Jeg vil foreslå spørgeren at spørge ovre i .serverside.asp gruppen, nå han
> kommer så langt at han har noget indledende kode.
>
> Forudsat han bruger ASP, men Access eller lignende indikerer det.

Jeg bruger selv ASP, har adgang til ACCESS, og jeg får måske brug for at
lave sikker log in på et tidspunkt (det skal i hvert fald afprøves), så
jeg tager gerne emnet op.

Jeg ved ikke helt, hvordan man FUTter, men jeg forsøger at sende en FUT
til nævnte gruppe herfra. Evt. besvarelse skulle så gerne dukke op dér ;)


MVH
Rune Jensen

---

Rune Jensen wrote:

> Jeg ved ikke helt, hvordan man FUTter, men jeg forsøger at sende en FUT
> til nævnte gruppe herfra. Evt. besvarelse skulle så gerne dukke op dér ;)

Lav en XFUT, så spørgsmål, og besvarelser ikke dukker ud af den blå luft.

Nu har du FUt'et til .serverside.asp gruppen, så mit svar:
>
> Re: Password på nogle sider
> From:
> Stig Johansen <wopr.dk@gmaill.com>
> Date:
> Sunday 27 September 2009 11:27:41
> Groups:
> dk.edb.internet.webdesign.serverside.asp
> References: 1 2 3 4
>
> Rune Jensen wrote:
>
> > Kan man gemme en hash af brugernavn og pass i cookien i stedet?
>
> Ja, men at gemme en hash i cookien løser ikke problemet.
> 'Enhver' kan hijacke cookien, og genskabe den, så alene det at have
> oplysninger (hashed eller ej) i cookien løser intet problem.
>
> > Jeg bruger selv ASP, har adgang til ACCESS, og jeg får måske brug for at
> > lave sikker log in på et tidspunkt (det skal i hvert fald afprøves), så
> > jeg tager gerne emnet op.
>
> At lave en sikker login er ingen kunst, men at gemme(huske) login på tværs
> af sessioner (aka cookies) er muligvis en størrre udfordring.
>
> Som sagt, så kan du eller OP skrive ovre i .ASP gruppen, men Jens Peters
> forslag er nærmest perfekt forkert.
> Jeg kan ikke rigtig komme i tanke om flere fejl, man ikke kan begå.
Dukker ikke op i .html gruppen.

Jeg havde egentlig til henisgt at lave en generel betragtning i .html
gruppen, men kan du ikke godt gøre os en tjeneste, at anføre hvilken FUT,
du angiver?

(Dette indlæg er XFUT'et til .html, op .asp, og FUT er sat til .asp)

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:

> Jeg havde egentlig til henisgt at lave en generel betragtning i .html
> gruppen, men kan du ikke godt gøre os en tjeneste, at anføre hvilken FUT,
> du angiver?

OK, sorry.

Men så ved jeg, det hedder XFUT, ikke FUT.

> (Dette indlæg er XFUT'et til .html, op .asp, og FUT er sat til .asp)

Fair nok.

En del af det hører til i ASP også, ja. Men vil gerne høre dine
generelle betragtninger ;)


MVH
Rune Jensen

---

Rune Jensen wrote:

> Kan man gemme en hash af brugernavn og pass i cookien i stedet?

Ja, men at gemme en hash i cookien løser ikke problemet.
'Enhver' kan hijacke cookien, og genskabe den, så alene det at have
oplysninger (hashed eller ej) i cookien løser intet problem.

> Jeg bruger selv ASP, har adgang til ACCESS, og jeg får måske brug for at
> lave sikker log in på et tidspunkt (det skal i hvert fald afprøves), så
> jeg tager gerne emnet op.

At lave en sikker login er ingen kunst, men at gemme(huske) login på tværs
af sessioner (aka cookies) er muligvis en størrre udfordring.

Som sagt, så kan du eller OP skrive ovre i .ASP gruppen, men Jens Peters
forslag er nærmest *perfekt* *forkert*.
Jeg kan ikke rigtig komme i tanke om flere fejl, man *ikke* kan begå.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen skrev:
> Rune Jensen wrote:
>
>> Kan man gemme en hash af brugernavn og pass i cookien i stedet?
>
> Ja, men at gemme en hash i cookien løser ikke problemet.
> 'Enhver' kan hijacke cookien, og genskabe den, så alene det at have
> oplysninger (hashed eller ej) i cookien løser intet problem.
>
>> Jeg bruger selv ASP, har adgang til ACCESS, og jeg får måske brug for at
>> lave sikker log in på et tidspunkt (det skal i hvert fald afprøves), så
>> jeg tager gerne emnet op.
>
> At lave en sikker login er ingen kunst, men at gemme(huske) login på tværs
> af sessioner (aka cookies) er muligvis en størrre udfordring.

Webmasterworld plejer at have gode råd. Jeg fandt denne:
http://www.webmasterworld.com/webmaster/3789734.htm

Men jeg er ikke helt med på SSL, har kun en svag anelse om session
cookies, og der er ikke egentlig kode til dokumentation, mere en
opskrift til, hvordan det kan gøres.

> Som sagt, så kan du eller OP skrive ovre i .ASP gruppen, men Jens Peters
> forslag er nærmest *perfekt* *forkert*.
> Jeg kan ikke rigtig komme i tanke om flere fejl, man *ikke* kan begå.

Jeg forsgtår ikke alt koden, men jeg kan godt se, det er meget direkte
lavet.


MVH
Rune Jensen

---

Rune Jensen wrote:

> Webmasterworld plejer at have gode råd. Jeg fandt denne:
> http://www.webmasterworld.com/webmaster/3789734.htm

Det har de sikkert.

> Men jeg er ikke helt med på SSL, har kun en svag anelse om session
> cookies, og der er ikke egentlig kode til dokumentation, mere en
> opskrift til, hvordan det kan gøres.

Det link du henviser til snakker kun om SSL vs non-SSL, i forbindelse med om
man kan 'sniffe' trafik.

At 'sniffe' trafik kræver at man kan intervenere på et eller andet plan,
altså have adgang til routere hos enten ISP'en eller udbyderen.

Det er ikke ligetil (at intervenere), og jeg har ikke hørt om nogle tilfælde
- ikke at jeg hører om alt, men det er noget nær umuligt - med mindre man
har adgang til udstyret, og dermed er kriminel og ansat i een af enderne.

At hijacke en session(cookie) er langt mere simpel, og foregår før
eventuelle krypteringer.

(Jeg har ikke til hensigt at komme med en længere redegørelse, så du må selv
overveje mulighederne - og løsningerne).

>> Som sagt, så kan du eller OP skrive ovre i .ASP gruppen, men Jens Peters
>> forslag er nærmest *perfekt* *forkert*.
>> Jeg kan ikke rigtig komme i tanke om flere fejl, man *ikke* kan begå.
>
> Jeg forsgtår ikke alt koden, men jeg kan godt se, det er meget direkte
> lavet.

Hvis du tænker på Jens Peter's kode (eksempel), så lad være med at kigge på
den.
Det er den slags kode, der er roden til alt ondt, så det eneste du kan bruge
den til er, at vise hvordan man *ikke* skal gøre tingene.

--
Med venlig hilsen
Stig Johansen

---

Det er rigtigt men det nævnes også lige at det måske ikke er en god
ide at gemme passwordet i cookien. Det kunne dog godt være gjort mere
tydeligt at det er en dårlig ide. Da jeg kender ham der har lavet den
tror jeg lige jeg dropper ham en mail om problemerne. Så hvis du eller
andre har andre kommentarer om tutorialen så post det endelig eller
send en privat email til mig hvis det foretrækkes.

Regards Jens Peter Karlsen.

On Sun, 27 Sep 2009 06:47:42 +0200, Stig Johansen <wopr.dk@gmaill.com>
wrote:

>ligesom det at gemme
>brugerid/passwords som clear text i cooikes er guf for session hijacking
>via XSS.

---

Jens Peter Karlsen wrote:

> Så hvis du eller
> andre har andre kommentarer om tutorialen så post det endelig eller
> send en privat email til mig hvis det foretrækkes.

Der er følgende problemer med SQL'et:
1) Brug af LIKE.
Det er ikke en god ide.
Efter al sandsynlighed er der f.eks. vokaler i hhv brugerid og password, så
prøv f.eks. at bruge %e% i både id og password på hans side, det virker
her.
Nu ved vi, at e indgår i begge dele jfr. hans beskrivelse, men du kan godt
se, at der ikke skal ret mange forsøg til for at finde et validt logon.

2) Passwords som cleartext i DB.
Det er heller ikke en god ide, for hvis man får mulighed for SQL injection a
la: UNION SELECT * FROM password, så har man en bruttoliste over brugere og
passwords.
Man bør som minimum bruge MD5, men helst også med 'salt', da man ellers
måske kan finde passwordet via en rainbow table.

3) SQL injection.
Den eneste rigtige måde at undgå SQL injection på, er brugen af
parameterized queries.
Jeg har lavet en funktionn her:
<http://w-o-p-r.dk/tips/asp/SQL.inc.asp.txt>
han kan bruge, og så kalder man den med eks:
Set rs = query(conn,"SELECT * FROM password WHERE id =? AND password
= ?",Array(id,password),-1)
Kræver en eksisterende åben connection, conn.
I forhold til 2) bør han bruge
password = MD5(Request.Form("password")+"salt") inden kaldet.

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:4abeee72$0$285$14726298@news.sunsite.dk...
> Jens Peter Karlsen wrote:
>
>> Her er en simpel tutorial.
>> http://www.takempis.com/pword.asp
>
> Lidt for simpel IMO.
>
> Dit eksempel er sårbar overfor SQL injection, ligesom det at gemme
> brugerid/passwords som clear text i cooikes er guf for session hijacking
> via XSS.
>
> Jeg vil foreslå spørgeren at spørge ovre i .serverside.asp gruppen, nå han
> kommer så langt at han har noget indledende kode.
>
> Forudsat han bruger ASP, men Access eller lignende indikerer det.
>
> --
> Med venlig hilsen
> Stig Johansen
>

Ja jeg brugerASP

Torben