---

I forbindelse med oprettelse af vores nye website, ønsker jeg at lave nogle
passwords således at vi kan have nogle informationer til offentlig beskuelse
og nogle kun for medlemmer. Desuden ønsker jeg at lave en side som har endnu
et password (en slags VIP-side) inde bag det første password.

Siden skal således have 2 lag passwords, lidt svarende til at nogle har en
A-nøgle der passer til det hele og nogle der kun har en B-nøgle til visse
områder.

Nogle der har et par link til en website der ligger inde med sådan nogle
gratis programstumper som jeg kan bruge?
Også gerne et forslag til hvordan en sådant sikkerhedsproblem klares bedst
muligt.

Passwordet behøver ikke at være totalt bulletproof - blot sikkert nok til at
holde de værste spam-hoveder langt væk...

M.v.h.

Jens

---

Den Tue, 26 Feb 2002 22:21:32 +0100 skrev Jens Didriksen:
>I forbindelse med oprettelse af vores nye website, ønsker jeg at lave nogle
>passwords således at vi kan have nogle informationer til offentlig beskuelse
>og nogle kun for medlemmer. Desuden ønsker jeg at lave en side som har endnu
>et password (en slags VIP-side) inde bag det første password.
>
>Siden skal således have 2 lag passwords, lidt svarende til at nogle har en
>A-nøgle der passer til det hele og nogle der kun har en B-nøgle til visse
>områder.
>
>Nogle der har et par link til en website der ligger inde med sådan nogle
>gratis programstumper som jeg kan bruge?

Det kan du lave i .htacces, på fx. en Apache webserver. Ingen
programmering nødvendig.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - to nye tegninger.

---

Eller NT validering hvis det er en WinNT/2000 server med NFTS

Alternativt kan du lave login systemer i ASP eller PHP - se f.eks.
www.netcoders.dk eller www.activedeveloper.dk

MEB

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>>>>> ""Mads" == "Mads Egede Bock <<NOSPAM>meb@bkms.info" <"NOSPAM>"> writes:
"Mads> Eller NT validering hvis det er en WinNT/2000 server med NFTS

<uvidenhed>Bliver der så ikke sendt lokale brugernavne/passwords i
plaintext? Det _lyder_ lidt i den retning.</uvidenhed>

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAjx8CnsACgkQYu1fMmOQldUBkQCeKEi/gRKq7mmTYzNP7kuu2/ls
x8AAoNkDC4Id9So9nTtYU6RumPo3soK7
=jdE/
-----END PGP SIGNATURE-----

---

Martin Christensen wrote:


> "Mads> Eller NT validering hvis det er en WinNT/2000 server med NFTS
>
> <uvidenhed>Bliver der så ikke sendt lokale brugernavne/passwords i
> plaintext? Det _lyder_ lidt i den retning.</uvidenhed>


Ikke plaintext, blot noget der ligner ;)

Hvis det er et problem, kan SSL benyttes.

---

Jens Didriksen <jens@didriksen.dk> wrote:
> Siden skal således have 2 lag passwords, lidt svarende til at nogle har en
> A-nøgle der passer til det hele og nogle der kun har en B-nøgle til visse
> områder.

Du har ikke noedvendigvis brug for 2 lag af password, men snarere at
give brugere adgang til den information de har brug for, baseret paa
deres brugernavn: Alle brugere har adgang til /nyheder/, bruger A har
adgang til /nyheder/admin/ og bruger B har adgang til /nyheder/admin/ samt
/nyheder/hemmeligt/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Jens Didriksen" <jens@didriksen.dk> wrote in message
news:3c7bfd34$0$18439$ba624c82@nntp02.dk.telia.net...

> Nogle der har et par link til en website der ligger inde med sådan nogle
> gratis programstumper som jeg kan bruge?
> Også gerne et forslag til hvordan en sådant sikkerhedsproblem klares bedst
> muligt.
>
> Passwordet behøver ikke at være totalt bulletproof - blot sikkert nok til
at
> holde de værste spam-hoveder langt væk...

Hvis du lægger dette lille script ind på siden bliver besøgende bedt om et
password, er password forkert sendes de til en anden side.
I dette eksempel sendes de til yahoo
Sikkerheden i et sådant script er selvfølgelig behersket, men mon ikke det
var noget sådant du efterspurgte.

Med venlig hilsen
Bjarne Østergård

<script>
//Først spørger vi lige brugeren om han vil ind på siden
var p=confirm("Denne side er beskyttet med adgangskode. er du sikker på du
vil videre?")
if(p){
var ans="enter"
var pass=prompt("Indtast din adgangskode")
if(pass!==ans)
{
alert("Forkert du sendes i kredsløb")
window.location="http://yahoo.com"
}else{alert("Korekt du vidrestilles til databasen");}
}else{window.location="http://yahoo.com"}
</script>
</head>

---

Bjarne Østergård <boe@gigasoft.dk> wrote:
> Hvis du lægger dette lille script ind på siden bliver besøgende bedt om et
> password, er password forkert sendes de til en anden side.

Hvilket slags script havde du i tankerne, Bjarne?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna7qk77.2cer.a@C-Tower.Area51.DK...
> Bjarne Østergård <boe@gigasoft.dk> wrote:
> > Hvis du lægger dette lille script ind på siden bliver besøgende bedt om
et
> > password, er password forkert sendes de til en anden side.
>
> Hvilket slags script havde du i tankerne, Bjarne?
Dette.
Det er da med i mit indlæg.
det er et javascript

<script>
//Først spørger vi lige brugeren om han vil ind på siden
var p=confirm("Denne side er beskyttet med adgangskode. er du sikker på du
vil videre?")
if(p){
var ans="enter"
var pass=prompt("Indtast din adgangskode")
if(pass!==ans)
{
alert("Forkert du sendes i kredsløb")
window.location="http://yahoo.com"
}else{alert("Korekt du vidrestilles til databasen");}
}else{window.location="http://yahoo.com"}
</script>
</head>

MVH
Bjarne Østergård
www.gigasoft.dk

---

Den Wed, 27 Feb 2002 22:26:17 +0100 skrev Bjarne Østergård:
>
>"Jens Didriksen" <jens@didriksen.dk> wrote in message
>news:3c7bfd34$0$18439$ba624c82@nntp02.dk.telia.net...
>
>> Nogle der har et par link til en website der ligger inde med sådan nogle
>> gratis programstumper som jeg kan bruge?
>> Også gerne et forslag til hvordan en sådant sikkerhedsproblem klares bedst
>> muligt.
>>
>> Passwordet behøver ikke at være totalt bulletproof - blot sikkert nok til
>at
>> holde de værste spam-hoveder langt væk...
>
>Hvis du lægger dette lille script ind på siden bliver besøgende bedt om et
>password, er password forkert sendes de til en anden side.
>I dette eksempel sendes de til yahoo
>Sikkerheden i et sådant script er selvfølgelig behersket, men mon ikke det
>var noget sådant du efterspurgte.

"Sikkerheden" i det script (eller alt andet javascript) er komplet
ikke-eksisterende.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - to nye tegninger.

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a5jjfq$9ah$1@sunsite.dk...

> "Sikkerheden" i det script (eller alt andet javascript) er komplet
> ikke-eksisterende.

Ved nu ikke rigtigt, jeg brugte det engang på en bestillingsformular, for en
som var plaget af, at nogle fjolser syntes det var sjovt at sende mærklige
bestillinger via hans formular, som ellers kun skulle bruges af hjemmesidens
faste kunder.

Dette lille script fik faktisk spambestillingerne til at ophøre.

Så scriptet har altså en berettigelse.
Men vogte kronjuvelerne skal man nok ikke bruge et script til, det vil jeg
da give dig ret i.

Vil man have mere sikkerhed er man nok nødt til at lave det serverside
Jeg har selv en side der er sikret med asp.

Fordelen med scriptet er at det ikke kræver nogen form for særlige
webløsninger, det kan lægges på alle sider og vist alle nyere browsere kan
håndtere det.

Men følsomme data skal man ikke lade dette script sikre, og det var jo
heller ikke det han efterspurgte.
Kun de værste spamhoveder.

Med venlig hilsen
Bjarne Østergård
www.gigasoft.dk

---

Bjarne Østergård <boe@gigasoft.dk> wrote:
> Hvis du lægger dette lille script ind på siden bliver besøgende bedt om et
> password, er password forkert sendes de til en anden side.
[Javascript snippet.]

Jeg saa slet ikke at der var et javascript vedhaeftet som eksempel.

Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
gav -- specielt, hvad er der galt med saakaldt "client-side security"?

Jeg ser frem til dit svar.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
> gav -- specielt, hvad er der galt med saakaldt "client-side security"?

Alex, du må ikke drille.

> Jeg ser frem til dit svar.

Killfilter midlertidigt deaktiveret.

--
"...in Spain!"

---

"Christian Andersen" <m4jni76ztglp001@sneakemail.com> skrev i en meddelelse news:a5jkd5$cap$1@sunsite.dk...
> Alex Holst wrote:
>
> > Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
> > gav -- specielt, hvad er der galt med saakaldt "client-side security"?
>
> Alex, du må ikke drille.
>
> > Jeg ser frem til dit svar.
>
> Killfilter midlertidigt deaktiveret.

Once again - You got him!

*LOL*

/Gevaldi

---

"Christian Andersen" <m4jni76ztglp001@sneakemail.com> wrote in message
news:a5jkd5$cap$1@sunsite.dk...
> Alex Holst wrote:
>
> > Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
> > gav -- specielt, hvad er der galt med saakaldt "client-side security"?
>
> Alex, du må ikke drille.
>
> > Jeg ser frem til dit svar.
>
> Killfilter midlertidigt deaktiveret.
Lad nu bare vær, du har savnet mig

--
Med venlig hilsen
Bjarne Østergård
www.gigasoft.dk

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna7ql13.2dec.a@C-Tower.Area51.DK...
> Bjarne Østergård <boe@gigasoft.dk> wrote:
> > Hvis du lægger dette lille script ind på siden bliver besøgende bedt om
et
> > password, er password forkert sendes de til en anden side.
> [Javascript snippet.]
>
> Jeg saa slet ikke at der var et javascript vedhaeftet som eksempel.
>
> Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
> gav -- specielt, hvad er der galt med saakaldt "client-side security"?
>
> Jeg ser frem til dit svar.

Det tror jeg da egentligt ikke der er noget galt med, men jeg tror man kan
lave større sikkerhed på serversiden,

Nu findes det jo et hav af løsninger, så jeg er ikke helt sikker på hvilken
client side løsning du tænker på.

Men et script kan ikke sikkerhedsmæssigt hamle op med f.eks asp.

Man vil jo altid kunne downloade siden og i ro og mag kunne analysere
scriptet.


--
Med venlig hilsen
Bjarne Østergård
www.gigasoft.dk

---

"Bjarne Østergård" <boe@gigasoft.dk> skrev i en meddelelse news:3c7d602e$0$66901$edfadb0f@dspool01.news.tele.dk...

[snipped]

> Man vil jo altid kunne downloade siden og i ro og mag kunne analysere
> scriptet.

Ja, men du kan da stadig ikke se
brugernavn og password..........

/Gevaldi

---

"Gevaldi" <dynamolygte@NOSPAMhotmail.com> wrote in message
news:3c7d6113$0$17253$edfadb0f@dspool01.news.tele.dk...
>
> "Bjarne Østergård" <boe@gigasoft.dk> skrev i en meddelelse
news:3c7d602e$0$66901$edfadb0f@dspool01.news.tele.dk...
>
> [snipped]
>
> > Man vil jo altid kunne downloade siden og i ro og mag kunne analysere
> > scriptet.
>
> Ja, men du kan da stadig ikke se
> brugernavn og password..........
Jo hvorfor skulle jeg ikke kunne dette. hvordan vil du kunne skjule det?
--
Med venlig hilsen
Bjarne Østergård
www.gigasoft.dk

---

Bjarne Østergård <boe@gigasoft.dk> wrote:
>
> "Alex Holst" <a@area51.dk> wrote in message
> news:slrna7ql13.2dec.a@C-Tower.Area51.DK...
>> Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
>> gav -- specielt, hvad er der galt med saakaldt "client-side security"?
>
> Det tror jeg da egentligt ikke der er noget galt med, men jeg tror man kan
> lave større sikkerhed på serversiden,
>
> Nu findes det jo et hav af løsninger, så jeg er ikke helt sikker på hvilken
> client side løsning du tænker på.

Jeg taenker paa det script du udleverede. Som du siger bliver det
udfoert paa klient-siden (i webbrowseren) imodsaetning til server-siden
(webserver). Naar man benytter sig af en klient/server model skal man
ikke overlade sikkerhedsbeslutninger (f.eks. adgangkontrol) til klient
delen. Klienten har nemlig fuld kontrol over hvordan disse beslutninger
bliver taget, hvis overhovedet.

Din password loesning kan i dette tilfaelde forbigaas blot ved at slaa
Javascript fra, som sektionen "Sikkerhed gennem brugeropfoersel" i
OSS'en staerkt anbefaler.

> Men et script kan ikke sikkerhedsmæssigt hamle op med f.eks asp.

Jeg ved ikke hvilken betydning *du* ligger i ordet "script"; i min
verden er det noget med at koden bliver fortolket per udfoersel fremfor
at den bliver oversat een gang og udfoert mange gange. De fleste sprog
som benyttes til at tilgaa ASP (Perl, VBScript, etc) er saaledes ogsaa
scripts. Der findes oversaettere til nogle af disse.

Jeg tror du mente: "Client-side adgangskontrol kan ikke hamle op med
server-side adgangskontrol."

> Man vil jo altid kunne downloade siden og i ro og mag kunne analysere
> scriptet.

Du lader jo til at have forstaaet lidt af problemet. Jeg tror dog ikke
du helt forstaar hvor let det er at omgaa, ellers ville du vel ikke have
forslaaet det som loesning? Der blev spurgt efter 2 lag af password, saa
der oenskes tydeligvis en nogenlunde form for adgangskontrol, og det synes
jeg bestemt ikke Javascript er.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>>>>> "Bjarne" == Bjarne Østergård <boe@gigasoft.dk> writes:
>> Bjarne, kan du ikke lige uddybe problemerne i den loesning du lige
>> gav -- specielt, hvad er der galt med saakaldt "client-side
>> security"?
Bjarne> Det tror jeg da egentligt ikke der er noget galt med, men jeg
Bjarne> tror man kan lave større sikkerhed på serversiden,

Dit forslag har lige så meget med sikkerhed at gøre, som
tryllekunstneres tricks har med trolddom... eller det at løbe nøgen
rundt på gaden og synge 'kan du gætte hvem jeg er' har at gøre med
normal, psykisk velafbalanceret adfærd.

Det er sikkerhed på samme niveau, som at tro filer på en webserver
gemt, fordi man ikke linker til dem; som at tro filer selektivt
beskyttet, fordi man checker Referrer HTTP-headeren; som at tro sig
uovervindelig, fordi man har passwordbeskyttet logins på sin
computer.

Det er ikke sikkerhed, men blot en let lille illusion, som trivielt
kan slås itu. Det er et billigt trick, der ikke narrer andre end min
bedstemor, og hun tror stadig, at computere kører på festøv mere end
strøm. Falsk sikkerhed er værre end ingen sikkerhed. Hvis endeligt du
vil bruge denne slags latterlige gimmicks, så lad være med at nævne
ordet 'sikkerhed' i samme forbindelse.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAjx9ba8ACgkQYu1fMmOQldX5hQCgq4kGsa+4iuhbbDe/O880m3JN
oBIAn2B82tm4BI2dhBtpea1Mq1b8yTe9
=urG8
-----END PGP SIGNATURE-----