/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
glemt pass/bruger i aspmail
Fra : Dennis


Dato : 29-10-01 20:32

jeg bixer med et " har du glemt dit bruger/password " i
asp........er der en der lige ligger inden med sådan et script?


--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Jesper Stocholm (29-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 29-10-01 20:52

Dennis wrote in news:9rkaru$gvs$1@sunsite.dk:

> jeg bixer med et " har du glemt dit bruger/password " i
> asp........er der en der lige ligger inden med sådan et script?
>

hvad er det, der giver dig problemer ?

Dit setup bør være lidt som dette:

1.
Få emailadresse fra bruger ... eller login-ID via en FORM.

2.
Slå password der hører til loginID eller emailadressen op i database og send
det til brugerens emailadresse ... via den sædvanlige metode i aspMail.

(og så er det ikke en god idé at opbevare passwords i klartekst på serveren
.... de skal krypteres/hash'es) for at udelukke misbrug.

:)


--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Dennis (29-10-2001)
Kommentar
Fra : Dennis


Dato : 29-10-01 21:56

Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
> Dennis wrote in news:9rkaru$gvs$1@sunsite.dk:
>
> > jeg bixer med et " har du glemt dit bruger/password " i
> > asp........er der en der lige ligger inden med sådan et script?
> >
>
> hvad er det, der giver dig problemer ?
>
> Dit setup bør være lidt som dette:
>
> 1.
> Få emailadresse fra bruger ... eller login-ID via en FORM.
>
> 2.
> Slå password der hører til loginID eller emailadressen op i database og send
> det til brugerens emailadresse ... via den sædvanlige metode i aspMail.
>
> (og så er det ikke en god idé at opbevare passwords i klartekst på serveren
> .... de skal krypteres/hash'es) for at udelukke misbrug.
>
> :)
>
er kommet ned til at Mailer.AddRecipient "" & tjek("email") & ""
ikke virker.......den giver en fejl "Wrong number of arguments or invalid
property assignment: 'Mailer.AddRecipient' "

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jesper Stocholm (29-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 29-10-01 22:12

Dennis wrote in news:9rkfps$7lr$1@sunsite.dk:

> Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
>> Dennis wrote in news:9rkaru$gvs$1@sunsite.dk:
>>
>> > jeg bixer med et " har du glemt dit bruger/password " i
>> > asp........er der en der lige ligger inden med sådan et script?
>> >
>>
>> hvad er det, der giver dig problemer ?
>>
>> Dit setup bør være lidt som dette:
>>
>> 1.
>> Få emailadresse fra bruger ... eller login-ID via en FORM.
>>
>> 2.
>> Slå password der hører til loginID eller emailadressen op i database
>> og send det til brugerens emailadresse ... via den sædvanlige metode
>> i aspMail.
>>
>> (og så er det ikke en god idé at opbevare passwords i klartekst på
>> serveren .... de skal krypteres/hash'es) for at udelukke misbrug.
>>
>> :)
>>
> er kommet ned til at Mailer.AddRecipient "" & tjek("email") & ""
> ikke virker.......den giver en fejl "Wrong number of arguments or
> invalid property assignment: 'Mailer.AddRecipient' "
>

iflg http://www.serverobjects.com/comp/Aspmail4.htm er syntaksen

Mailer.AddRecipient Request.Form("ToName"), Request.Form("ToAddress")
Mailer.Subject = Request.Form ("Subject")
Mailer.BodyText = Request.Form ("MsgBody")

Kan det ikke hjælpe dig lidt videre ?

.... og husk så, at end ikke sysadm bør have adgang til passwords i
klartekst.

:)

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Dennis (29-10-2001)
Kommentar
Fra : Dennis


Dato : 29-10-01 22:39

Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
> Dennis wrote in news:9rkfps$7lr$1@sunsite.dk:
>
> > Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
> >> Dennis wrote in news:9rkaru$gvs$1@sunsite.dk:
> >>
> >> > jeg bixer med et " har du glemt dit bruger/password " i
> >> > asp........er der en der lige ligger inden med sådan et script?
> >> >
> >>
> >> hvad er det, der giver dig problemer ?
> >>
> >> Dit setup bør være lidt som dette:
> >>
> >> 1.
> >> Få emailadresse fra bruger ... eller login-ID via en FORM.
> >>
> >> 2.
> >> Slå password der hører til loginID eller emailadressen op i database
> >> og send det til brugerens emailadresse ... via den sædvanlige metode
> >> i aspMail.
> >>
> >> (og så er det ikke en god idé at opbevare passwords i klartekst på
> >> serveren .... de skal krypteres/hash'es) for at udelukke misbrug.
> >>
> >> :)
> >>
> > er kommet ned til at Mailer.AddRecipient "" & tjek("email") & ""
> > ikke virker.......den giver en fejl "Wrong number of arguments or
> > invalid property assignment: 'Mailer.AddRecipient' "
> >
>
> iflg http://www.serverobjects.com/comp/Aspmail4.htm er syntaksen
>
> Mailer.AddRecipient Request.Form("ToName"), Request.Form("ToAddress")
> Mailer.Subject = Request.Form ("Subject")
> Mailer.BodyText = Request.Form ("MsgBody")
>
> Kan det ikke hjælpe dig lidt videre ?
>
> .... og husk så, at end ikke sysadm bør have adgang til passwords i
> klartekst.
>
> :)
> hvordan sender jeg det så hvis det er krypteret
>

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jesper Stocholm (29-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 29-10-01 23:21

Dennis wrote in news:9rkia9$hla$1@sunsite.dk:

> Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
>> Dennis wrote in news:9rkfps$7lr$1@sunsite.dk:
>>
>> > Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
>> >> Dennis wrote in news:9rkaru$gvs$1@sunsite.dk:
>> >>
>> >> > jeg bixer med et " har du glemt dit bruger/password " i
>> >> > asp........er der en der lige ligger inden med sådan et script?
>>
>> Kan det ikke hjælpe dig lidt videre ?
>>
>> .... og husk så, at end ikke sysadm bør have adgang til passwords i
>> klartekst.
>>
>> :)
>> hvordan sender jeg det så hvis det er krypteret
>>

det gør du ikke ... du resetter det gamle med at password, der kun kan
bruges én gang ... og dette nye one-time password giver du så til din
bruger.

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Dennis (29-10-2001)
Kommentar
Fra : Dennis


Dato : 29-10-01 23:32


>
> det gør du ikke ... du resetter det gamle med at password, der kun kan
> bruges én gang ... og dette nye one-time password giver du så til din
> bruger.
>
>
wao.......ok........det må tænke lidt over.......takker for hjælpen

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jesper Stocholm (30-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 30-10-01 00:33

Dennis wrote in news:9rklc6$sfh$1@sunsite.dk:

>
>>
>> det gør du ikke ... du resetter det gamle med at password, der kun kan
>> bruges én gang ... og dette nye one-time password giver du så til din
>> bruger.
>>
>>
> wao.......ok........det må tænke lidt over.......takker for hjælpen
>

pointen er, at du ikke gemmer dine brugeres password på din server ... men
derimod en hash-værdi af passwordet. Når folk så logger ind, så udregner du
hashværdien af det de indtaster som password og sammenligner med det du har
i databasen. Da hashværdien af en streng er deterministisk kan du
sammenligne hashværdier i stedet for passwords i klartekst.

Personligt bliver jeg altid harm over, når jeg opdager, at et website har
mit password liggende i klartekst, da de intet har at bruge det til. Det er
en stor sikkerhedsrisiko at andre har adgang til dine passwords ... prøv
blot at forestille dig, hvis fx din webbank har dit password liggende ... en
ond medarbejder vil så kunne logge ind som dig og overføre penge fra din
konto ...

:)

--
Jesper Stocholm
http://stocholm.dk
ICQ: 13214885
MSN Messenger: jesperstocholm at hotmail dot com

Dennis (30-10-2001)
Kommentar
Fra : Dennis


Dato : 30-10-01 07:25

Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
> Dennis wrote in news:9rklc6$sfh$1@sunsite.dk:
>
> >
> >>
> >> det gør du ikke ... du resetter det gamle med at password, der kun kan
> >> bruges én gang ... og dette nye one-time password giver du så til din
> >> bruger.
> >>
> >>
> > wao.......ok........det må tænke lidt over.......takker for hjælpen
> >
>
> pointen er, at du ikke gemmer dine brugeres password på din server ... men
> derimod en hash-værdi af passwordet. Når folk så logger ind, så udregner du
> hashværdien af det de indtaster som password og sammenligner med det du har
> i databasen. Da hashværdien af en streng er deterministisk kan du
> sammenligne hashværdier i stedet for passwords i klartekst.
>
> Personligt bliver jeg altid harm over, når jeg opdager, at et website har
> mit password liggende i klartekst, da de intet har at bruge det til. Det er
> en stor sikkerhedsrisiko at andre har adgang til dine passwords ... prøv
> blot at forestille dig, hvis fx din webbank har dit password liggende ... en
> ond medarbejder vil så kunne logge ind som dig og overføre penge fra din
> konto ...
>
det er rigtigt nok.....men jeg må tilstå og sige at det havde jeg ikke tænkt
over og jeg er heller ikke klar over hvordan i hulen jeg skal gøre, men nu er
det ikke en bank jeg styrer men blot en webside hvor du kan styrer dine links,
så du kan se dem lige meget hvor du er.


--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jesper Stocholm (30-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 30-10-01 09:39

Dennis wrote in news:9rlh4k$810$1@sunsite.dk:

> Jesper Stocholm wrote in dk.edb.internet.webdesign.serverside.asp:
>> Dennis wrote in news:9rklc6$sfh$1@sunsite.dk:
>>
>> > wao.......ok........det må tænke lidt over.......takker for hjælpen
>>
>> pointen er, at du ikke gemmer dine brugeres password på din server ...
>> men derimod en hash-værdi af passwordet. Når folk så logger ind, så
>> udregner du hashværdien af det de indtaster som password og
>> sammenligner med det du har i databasen. Da hashværdien af en streng
>> er deterministisk kan du sammenligne hashværdier i stedet for
>> passwords i klartekst.
>>
>> Personligt bliver jeg altid harm over, når jeg opdager, at et website
>> har mit password liggende i klartekst, da de intet har at bruge det
>> til. Det er en stor sikkerhedsrisiko at andre har adgang til dine
>> passwords ... prøv blot at forestille dig, hvis fx din webbank har
>> dit password liggende ... en ond medarbejder vil så kunne logge ind
>> som dig og overføre penge fra din konto ...
>>
> det er rigtigt nok.....men jeg må tilstå og sige at det havde jeg ikke
> tænkt over og jeg er heller ikke klar over hvordan i hulen jeg skal
> gøre, men nu er det ikke en bank jeg styrer men blot en webside hvor du
> kan styrer dine links, så du kan se dem lige meget hvor du er.
>
>

Det er klart, at indsatsen skal stå mål med den gevinst du får ved det. Jeg
er ansvarlig for indholdet af et stud. politisk website på DTU, og jeg har
valgt konsekvent ikke at opbevare passwords i klartekst. Det gør jeg fordi
jeg tror, at folk er som folk er som flest. Det vil sige, at de bruger de
samme passwords til flere systemer. Derfor ønsker jeg ikke, at det i
tilfælde af misbrug af en studerendes konto kan komme til mistanke om, at
det er mig, der har fiflet med noget.

Men selve implementeringen er nu ikke så svær. Det kan skitseres som følger:

Når brugere logger ind, så lagrer jeg en hash-værdi af brugerens password.
Når en bruger har glemt sit password, så laver jeg en tilfældig streng - med
VBs Rnd-funktion - og jeg gemmer hash-værdien af denne streng som brugerens
password ... og markerer det i databasen som "One-time-password". Jeg sender
den tilfældige streng til brugeren. Når brugeren så logger ind, så tvinges
brugeren til at skifte passwordet ud med det samme. Dermed har jeg opnået
ikke at gemme brugerens password noget sted ... og ja - jeg ved godt, at det
sikkert kan graves frem et eller andet sted i Windows ... men jeg har ikke
adgang til disse systemer.

--
Er du også irriteret over, at din lokale grønthandler ikke slår dine varer
ind på kasseapperatet - og dermed undrager sig moms ? Så bed om en bon.

- Jesper Stocholm - http://stocholm.dk

Kim Jensen (30-10-2001)
Kommentar
Fra : Kim Jensen


Dato : 30-10-01 10:13

> [snip]
> brugeren til at skifte passwordet ud med det samme. Dermed har jeg opnået
> ikke at gemme brugerens password noget sted ... og ja - jeg ved godt, at
det
> sikkert kan graves frem et eller andet sted i Windows ... men jeg har ikke
> adgang til disse systemer.

Næh, men hvis du var den "onde, onde sysadm" kunne du jo bare BCC'e emailen
med one-time-passwordet til dig selv, logge ind og stjæle alle de hemmelige
oplysninger!?

mvh
Kim Jensen



Jesper Stocholm (30-10-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 30-10-01 10:38

Kim Jensen wrote in news:3bde6f34$0$57563$edfadb0f@dspool01.news.tele.dk:

>> [snip]
>> brugeren til at skifte passwordet ud med det samme. Dermed har jeg
>> opnået ikke at gemme brugerens password noget sted ... og ja - jeg ved
>> godt, at det sikkert kan graves frem et eller andet sted i Windows ...
>> men jeg har ikke adgang til disse systemer.
>
> Næh, men hvis du var den "onde, onde sysadm" kunne du jo bare BCC'e
> emailen med one-time-passwordet til dig selv, logge ind og stjæle alle
> de hemmelige oplysninger!?
>

ja ... jeg er klar over, at det ikke er skudsikkert, men da jeg ikke har
adgang til vores mailservere som admin, så vil sporene af emailen være
logget dér. Derfor vil jeg have min ryg fri ifht mistanke om opsnappelse af
passwords.

Det skal siges, at jeg har adgang til alle de lagrede oplysninger - som
dbadm - men blot ikke password. Det betyder, at det er noget mere besværligt
for mig at "overtage en brugers identitet" end hvis jeg blot skulle logge
ind som brugeren.

--
Er du også irriteret over, at din lokale grønthandler ikke slår dine varer
ind på kasseapperatet - og dermed undrager sig moms ? Så bed om en bon.

- Jesper Stocholm - http://stocholm.dk

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste