---

Hej,

Med fare for at der bliver skudt med skarpt, spørger jeg eksperterne.

Jeg har et par sider på min computer, som jeg ikke ønkser at andre end
bestemte brugere
skal kunne se. Jeg har strikket lidt meget simpelt php sammen, som virker
fint,
men hvor sikkert er det? Sikkert ikke ret sikkert, men er, og i så fald
hvordan,
det muligt at få adgang til siden alligevel?
Jeg indsætter koden i starten af siden, og den ser sådan ud:
<?php
$iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
if (!in_array($REMOTE_ADDR,$iptest)) {
print "You ($REMOTE_ADDR) aren't allowed to see this page";
exit();
}
?>

Prøv her: http://www.xylo.myip.org/test.php

På forhånd tak

Jeg har tilladt mig også at poste til dk.edb.sikkerhed.
--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen <xylofonius@hotpop.com> wrote:
> Jeg har et par sider på min computer, som jeg ikke ønkser at andre end
> bestemte brugere skal kunne se.

Du begraenser ikke adgang til brugere, men derimod til IP adresser. Hvis
du vil haandhaeve adgangskontrol per bruger skal du benytte validering
baseret paa brugernavne og kodeord. OSS'en til dk.edb.sikkerhed taler
lidt om tilbyde fjernadgang paa en fornuftig maade:

   http://a.area51.dk/sikkerhed/servere#fjernadgang

Jeg kan ikke komme i tanke om et webserver product der understoetter PHP
uden at understoette adgangskontrol baseret paa IP adresser (eller
brugernavn og kodeord for den sags skyld). Hvorfor bruger du ikke din
webservers indbyggede adgangskontrol til dette?

> Jeg har tilladt mig også at poste til dk.edb.sikkerhed.

FUT til dk.edb.sikkerhed men dit problem er i virkeligheden manglende
forstaaelse af din webservers egenskaber. Du vil blive overrasket over
hvor meget lettere livet kan blive hvis man tager tid til at forstaa den
teknologi man er tvunget(?) til at bruge.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Du begraenser ikke adgang til brugere, men derimod til IP adresser.
Ja, det var også meningen, men formuleringen var dårlig.

>Hvis
> du vil haandhaeve adgangskontrol per bruger skal du benytte validering
> baseret paa brugernavne og kodeord. OSS'en til dk.edb.sikkerhed taler
> lidt om tilbyde fjernadgang paa en fornuftig maade:
Ok - det kigger jeg på.

> Jeg kan ikke komme i tanke om et webserver product der understoetter PHP
> uden at understoette adgangskontrol baseret paa IP adresser (eller
> brugernavn og kodeord for den sags skyld). Hvorfor bruger du ikke din
> webservers indbyggede adgangskontrol til dette?
Egentlig bare fordi jeg syntes, det var lidt lettere,at smide den kode ind i
starten i stedet for
at skulle bakse med Apache (ja, jeg skal nok få det lært) .)

> FUT til dk.edb.sikkerhed men dit problem er i virkeligheden manglende
> forstaaelse af din webservers egenskaber. Du vil blive overrasket over
> hvor meget lettere livet kan blive hvis man tager tid til at forstaa den
> teknologi man er tvunget(?) til at bruge.
Tvunget? Nej, da det ligger på min egen computer, og ja, jeg skal nok på et
tidspunkt
forstå Apache. Tak for hjælpen

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

> men hvor sikkert er det? Sikkert ikke ret sikkert, men er, og i så fald
> hvordan,
> det muligt at få adgang til siden alligevel?
> Jeg indsætter koden i starten af siden, og den ser sådan ud:
> <?php
> $iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
> if (!in_array($REMOTE_ADDR,$iptest)) {
> print "You ($REMOTE_ADDR) aren't allowed to see this page";
> exit();
> }

fra det kendskab jeg har til PHP, vil jeg sige at det ikke er muligt at
komme ind med mindre man har den rigtige IP...
så den er rimlig sikker, da man ikke kan specificere sin egen IP adresse
(hvor internettet så virker)
Det er kun muligt at specificere IP'en når man er i et LAN, men jeg regner
med at du vel ikke har noget mod at din lillesøster går ind og kigger på
det...
--
Steen Nielsen
http://www.msdesign.dk
Professionelt webdesign til fornuftige priser

---

Den Sat, 9 Mar 2002 18:06:38 +0100 skrev Steen \(MSDesign.dk\):
>> men hvor sikkert er det? Sikkert ikke ret sikkert, men er, og i så fald
>> hvordan,
>> det muligt at få adgang til siden alligevel?
>> Jeg indsætter koden i starten af siden, og den ser sådan ud:
>> <?php
>> $iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
>> if (!in_array($REMOTE_ADDR,$iptest)) {
>> print "You ($REMOTE_ADDR) aren't allowed to see this page";
>> exit();
>> }
>
>fra det kendskab jeg har til PHP, vil jeg sige at det ikke er muligt at
>komme ind med mindre man har den rigtige IP...
>så den er rimlig sikker, da man ikke kan specificere sin egen IP adresse
>(hvor internettet så virker)
>Det er kun muligt at specificere IP'en når man er i et LAN, men jeg regner
>med at du vel ikke har noget mod at din lillesøster går ind og kigger på
>det...

Sjovt nok er det mit ip-nr. der er angivet (den uden xxx'er)

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - Ny tegning uploadet.

---

On 09/03/02 18:13, in article a6dfrp$e3o$1@sunsite.dk, "Kent Friis"
<kfr@fleggaard.dk> wrote:

> Sjovt nok er det mit ip-nr. der er angivet (den uden xxx'er)

LOL

Poul

---

> Sjovt nok er det mit ip-nr. der er angivet (den uden xxx'er)

LoL!:.. arj hvor får i det fra i nørder!...

Steen Nielsen
http://www.msdesign.dk
Professionelt webdesign til fornuftige priser

---

Steen (MSDesign.dk) wrote:

>><?php
>>$iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
>>if (!in_array($REMOTE_ADDR,$iptest)) {
>> print "You ($REMOTE_ADDR) aren't allowed to see this page";
>> exit();
>>}
> fra det kendskab jeg har til PHP, vil jeg sige at det ikke er muligt at
> komme ind med mindre man har den rigtige IP...
> så den er rimlig sikker, da man ikke kan specificere sin egen IP adresse
> (hvor internettet så virker)
> Det er kun muligt at specificere IP'en når man er i et LAN, men jeg regner
> med at du vel ikke har noget mod at din lillesøster går ind og kigger på
> det...


Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
hedder iptest der på 4 elements plads har min IP adresse, hvad så?

Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?

I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
en nye "feature" i den næste version af PHP.

Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
fortolket, fx via et indekseringssystem.

---

Steen (MSDesign.dk) wrote:

>><?php
>>$iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
>>if (!in_array($REMOTE_ADDR,$iptest)) {
>> print "You ($REMOTE_ADDR) aren't allowed to see this page";
>> exit();
>>}
> fra det kendskab jeg har til PHP, vil jeg sige at det ikke er muligt at
> komme ind med mindre man har den rigtige IP...
> så den er rimlig sikker, da man ikke kan specificere sin egen IP adresse
> (hvor internettet så virker)
> Det er kun muligt at specificere IP'en når man er i et LAN, men jeg regner
> med at du vel ikke har noget mod at din lillesøster går ind og kigger på
> det...


Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
hedder iptest der på 4 elements plads har min IP adresse, hvad så?

Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?

I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
en nye "feature" i den næste version af PHP.

Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
fortolket, fx via et indekseringssystem.

Endvidere kan et andet problem være hvis der eksistere en proxy server

på webserveren, herved kan min afsender adresse blive ændret til

127.0.0.1. Nogle webservere kan også benyttes til dette.


Den rigtige løsning vil være at implementere brugervalidering i
webserveren og ikke i et scriptsprog der er bygget til andre formål.

---

> Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
> hedder iptest der på 4 elements plads har min IP adresse, hvad så?
> Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?
Jo, men det skulle så også godt nok være tilfældigt, eller hvad?
Det er jo heller ikke statshemmelighede, der skal sikres. Det var bare for,
at
alle mulige ikke skulle kunne komme rendende, og så ville jeg lige have at
vide hvor sikkert, det var.

> I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
> nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
> en nye "feature" i den næste version af PHP.
Ja, det er jo aldrig til at vide.

> Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
> fortolket, fx via et indekseringssystem.
Så php-koden bliver hentet med, eller hvad?

> Endvidere kan et andet problem være hvis der eksistere en proxy server
> på webserveren, herved kan min afsender adresse blive ændret til
> 127.0.0.1. Nogle webservere kan også benyttes til dette.
Så kan jeg jo fjerne 127.0.0.1 og se det ude fra selv.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

>>Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
>>hedder iptest der på 4 elements plads har min IP adresse, hvad så?
>>Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?
> Jo, men det skulle så også godt nok være tilfældigt, eller hvad?


Nej, det er det mest benyttet angreb... at sætte en variable programøren
har "glemt" at initialisere. Dette var dog ikke tilfældet i dit
eksemple. På mange UNIX systemer ligger der backup af editeret filer,
således kan man kikke efter test.php~ som ikke bliver opfattet som et
php script af webserveren og derfor ser man kildekoden.

> Det er jo heller ikke statshemmelighede, der skal sikres. Det var bare for,
> at
> alle mulige ikke skulle kunne komme rendende, og så ville jeg lige have at
> vide hvor sikkert, det var.



>>I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
>>nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
>>en nye "feature" i den næste version af PHP.
> Ja, det er jo aldrig til at vide.


Derimod vil det være usandsynligt at man pillede i sådan features i apache.

>>Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
>>fortolket, fx via et indekseringssystem.
> Så php-koden bliver hentet med, eller hvad?


Ja, jeg har set eksempler på at administrator brugerens navn og password
lå i et ASP script. Herefter var det trivielt at "bryde" ind i maskinen.

Jeg testede kort dit site, og følgende stier virkede interessante:
"forum", "gbook" og "new"


>>Endvidere kan et andet problem være hvis der eksistere en proxy server
>>på webserveren, herved kan min afsender adresse blive ændret til
>>127.0.0.1. Nogle webservere kan også benyttes til dette.
> Så kan jeg jo fjerne 127.0.0.1 og se det ude fra selv.


Rigtigt nok, men hvis de andre maskiner fx kører compaqs managment
system, kan dette bruges som en proxy og så har jeg igen adgang til siden.

---

> Jeg testede kort dit site, og følgende stier virkede interessante:
> "forum", "gbook" og "new"

Jae, jeg ved ikke helt, hvad du mener med interessant.
Forum indeholder bare noget test script, gbook er der ip-"sikringen" på og
new
er fri til brug.

> Ja, jeg har set eksempler på at administrator brugerens navn og password
> lå i et ASP script. Herefter var det trivielt at "bryde" ind i maskinen.
Ja, så ville de være nemt nok.

> Rigtigt nok, men hvis de andre maskiner fx kører compaqs managment
> system, kan dette bruges som en proxy og så har jeg igen adgang til siden.
Argh og øv! :)

Men enden bliver vel, at det er mest sikkert at lade serveren tage sig af
sikringn?

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

> > Jeg testede kort dit site, og følgende stier virkede interessante:
> > "forum", "gbook" og "new"
>
> Jae, jeg ved ikke helt, hvad du mener med interessant.
> Forum indeholder bare noget test script, gbook er der ip-"sikringen" på og
> new er fri til brug.
Vrøvl - gbook er også fri til brug.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

> Jae, jeg ved ikke helt, hvad du mener med interessant.


new/test.php giver fx en "Internal Server Error"

Det i sig selv er interessant.

> Forum indeholder bare noget test script, gbook er der ip-"sikringen" på og
> new
> er fri til brug.


gbook, fortolker heldigvis ikke den php kode gæster taster ... har testet :)

> Men enden bliver vel, at det er mest sikkert at lade serveren tage sig af
> sikringn?


Ja, og kører brugervalidering, evt. kryptere trafikken. Er det vigtig
informationer kan du også bruge stærk brugervalidering.

---

> > Jae, jeg ved ikke helt, hvad du mener med interessant.
> new/test.php giver fx en "Internal Server Error"

Ja, og spørg mig ikke hvorfor. Der er ikke nogen fil, der hedder test.php
der.
Lige meget hvad jeg skriver, giver den "Internal Server Error" og ikke en
404.
Hmm, måske et tegn til at jeg burde sætte mig ind i Apache

> gbook, fortolker heldigvis ikke den php kode gæster taster ... har testet
:)
Ja, jeg kan se, at der er et par beskeder med din ip i. Tak for dem

Bare lige for god ordens skyld. Hvordan fandt du mappen forum?
Jeg mindes da ikke, at jeg hverken har skrevet eller linket til den.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

> Ja, og spørg mig ikke hvorfor. Der er ikke nogen fil, der hedder test.php
> der.
> Lige meget hvad jeg skriver, giver den "Internal Server Error" og ikke en
> 404.
> Hmm, måske et tegn til at jeg burde sætte mig ind i Apache


Hvis du går op i sikkerheden på din maskine, ja.

både oksapodkodk.php og new/test fejler også...

>>gbook, fortolker heldigvis ikke den php kode gæster taster ... har testet
>>
> :)
> Ja, jeg kan se, at der er et par beskeder med din ip i. Tak for dem


Ja du har lige slette dem.


> Bare lige for god ordens skyld. Hvordan fandt du mappen forum?
> Jeg mindes da ikke, at jeg hverken har skrevet eller linket til den.


Jeg gættede, dvs. jeg har en lille database over "gode" URL'er.

Sidder "svensken" forresten på 213.237.104.40 eller 212.10.224.125?

---

> Hvis du går op i sikkerheden på din maskine, ja.
>
> både oksapodkodk.php og new/test fejler også...

Ja, men det der undrer mig, at jeg ikke får en 404 fejl.

> > Ja, jeg kan se, at der er et par beskeder med din ip i. Tak for dem
> Ja du har lige slette dem.
Ja, de var jo ikke så informative.

> Jeg gættede, dvs. jeg har en lille database over "gode" URL'er.
Aha = taget til efterretning.

> Sidder "svensken" forresten på 213.237.104.40 eller 212.10.224.125?
Hmmm - interessant. Smart fundet . Hvilken der tilhører hvem, står jo
tydeligt i filerne sammen med adressen.
Smart af dig at teste med | i gæstebogen.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

> Ja, men det der undrer mig, at jeg ikke får en 404 fejl.


Har du et kreativt alias eller rewrite regler et eller andet sted?

> Ja, de var jo ikke så informative.


Du må nok slette de nye *sorry*

>>Jeg gættede, dvs. jeg har en lille database over "gode" URL'er.
> Aha = taget til efterretning.


Endvidere kan en søgning i nogle af de størrer søgedatabase også nogle
gange vise _meget_ interessante ting :)

>>Sidder "svensken" forresten på 213.237.104.40 eller 212.10.224.125?
> Hmmm - interessant. Smart fundet . Hvilken der tilhører hvem, står jo
> tydeligt i filerne sammen med adressen.


Dvs. hvis jeg kan fake ovenstående IP adresser har jeg adgang til

http://www.xylo.myip.org/svesken/index.php

og

http://www.xylo.myip.org/test.php

?

> Smart af dig at teste med | i gæstebogen.


Man skal jo helst være "smartere" end programmøren. Smart af dig at give
verden adgang til gbook/data :)

---

> > Ja, men det der undrer mig, at jeg ikke får en 404 fejl.
> Har du et kreativt alias eller rewrite regler et eller andet sted?
Næ, jeg har ikke ændret ret meget på opsætningen i Apache.
Kun at den som standard også viser index.php.

> > Ja, de var jo ikke så informative.
> Du må nok slette de nye *sorry*
Helt i orden.

> Dvs. hvis jeg kan fake ovenstående IP adresser har jeg adgang til
> http://www.xylo.myip.org/svesken/index.php
> http://www.xylo.myip.org/test.php
Måske? :)
Gættede du dig også frem til test.php?

> > Smart af dig at teste med | i gæstebogen.
> Man skal jo helst være "smartere" end programmøren. Smart af dig at give
> verden adgang til gbook/data :)
Ja, for pokker. Endnu en grund til at sætte mig ind i Apache.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

>>Dvs. hvis jeg kan fake ovenstående IP adresser har jeg adgang til
>>http://www.xylo.myip.org/svesken/index.php
>>http://www.xylo.myip.org/test.php
>>
> Måske? :)
> Gættede du dig også frem til test.php?


Ja, men du havde også skrevet denne URL i dit første indlæg! :)

> Ja, for pokker. Endnu en grund til at sætte mig ind i Apache.


Læs under .htaccess

---

> >>Dvs. hvis jeg kan fake ovenstående IP adresser har jeg adgang til
> >>http://www.xylo.myip.org/svesken/index.php
> >>http://www.xylo.myip.org/test.php
> > Måske? :)
> > Gættede du dig også frem til test.php?
> Ja, men du havde også skrevet denne URL i dit første indlæg! :)


D'OH for dælen. :)
Du skal da være velkommen til at forsøge at vise test.php, hvis du har tid
og lyst.

> > Ja, for pokker. Endnu en grund til at sætte mig ind i Apache.
> Læs under .htaccess
Ja - tak

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

Andreas Kryger Jensen wrote:

>>Ja, men du havde også skrevet denne URL i dit første indlæg! :)
> D'OH for dælen. :)
> Du skal da være velkommen til at forsøge at vise test.php, hvis du har tid
> og lyst.


Hmmm, hvis jeg skal til at fake de to IP adresser bliver det nok svært,
men jeg vil måske prøve noget andet.

---

> Hmmm, hvis jeg skal til at fake de to IP adresser bliver det nok svært,
> men jeg vil måske prøve noget andet.

Du må gøre, hvad du vil, bare jeg ser indholdet af test.php

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote
in news:3C8A4BFF.2010809@example.net

> Et andet problem kan være hvis jeg kalder scriptet uden at
> PHP'en bliver fortolket, fx via et indekseringssystem.

hvilket indexeringssystem vil du bruge til det ?

--
Henrik Stidsen | HS235-DK | Samleobjekt

---

Henrik Stidsen wrote:

>>Et andet problem kan være hvis jeg kalder scriptet uden at
>>PHP'en bliver fortolket, fx via et indekseringssystem.
> hvilket indexeringssystem vil du bruge til det ?


Det der er til rådighed på webserveren.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3C8A4BFF.2010809@example.net...
> Steen (MSDesign.dk) wrote:
>
> >><?php
> >>$iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
> >>if (!in_array($REMOTE_ADDR,$iptest)) {
> >> print "You ($REMOTE_ADDR) aren't allowed to see this page";
> >> exit();
> >>}
> > fra det kendskab jeg har til PHP, vil jeg sige at det ikke er muligt at
> > komme ind med mindre man har den rigtige IP...
> > så den er rimlig sikker, da man ikke kan specificere sin egen IP adresse
> > (hvor internettet så virker)
> > Det er kun muligt at specificere IP'en når man er i et LAN, men jeg
regner
> > med at du vel ikke har noget mod at din lillesøster går ind og kigger på
> > det...
>
>
> Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
> hedder iptest der på 4 elements plads har min IP adresse, hvad så?

Ja, hvad så?
$iptest = array(....);
Og din cookie er overskrevet. Den kommer jo ikke fra hverken, get, post,
cookies, server_vars, envirionment eller noget som helst sted.
Den bliver sat lige der. Så hvis du på en eller anden måde, for lavet en
variabel med navnet $iptest, så vil den bare blive overskrevet.
Og desuden, er serveren så ikke sat op, som ihvertfald jeg foretrækker det:
http://www.php.net/manual/en/configuration.php#ini.register-globals
>
> Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?
>
Så er din server sat forkert op ;)
http://www.php.net/manual/en/configuration.php#ini.variables-order


> I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
> nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
> en nye "feature" i den næste version af PHP.
Ja... så har PHP/Zend et forklaring problem :)

>
> Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
> fortolket, fx via et indekseringssystem.
Hvis du har adgang til at gøre det, har du formentlig også adgang til siden.

>
> Endvidere kan et andet problem være hvis der eksistere en proxy server
>
> på webserveren, herved kan min afsender adresse blive ændret til
>
> 127.0.0.1. Nogle webservere kan også benyttes til dette.
Ligepræcis den adresse er nok ikke et problem
http://www.networkcomputing.com/netdesign/ip101.html

men generelt - ja proxies er et problem, når
man kontrollerer på IP-adressen.
>
>
> Den rigtige løsning vil være at implementere brugervalidering i
> webserveren og ikke i et scriptsprog der er bygget til andre formål.
I web-serveren? Det løser vel ikke problemet med indekseringsystemet,
med mindre du taler om et indekseringssystem, der anvender HTTP, og så er
det jo ikke problem. Det er da en mærkelig web-server hvis du kan bede den
om
at servere den "rå" fil, og gå uden om PHP-fortolkeren.

MVH Per Thomsen,
http://www.pert.dk/

---

Per Thomsen wrote:

>>Hvis nu jeg sætte et array (via cookies eller forms) som tilfældigvis
>>hedder iptest der på 4 elements plads har min IP adresse, hvad så?
> Ja, hvad så?
> $iptest = array(....);
> Og din cookie er overskrevet. Den kommer jo ikke fra hverken, get, post,
> cookies, server_vars, envirionment eller noget som helst sted.


ovenstående kan sætte en tabel af navn iptest. Denne tabel kan have
flere enheder end den initialiseret tabel. Ved en fejl kan nogle af
disse enheder blive aktiveret, fx

cookie($iptest=(1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4, 5.5.5.5))

Når $iptest initialiseres i programet, sker dette efter at webserveren
har initialiseret tablen. Hvis programmet initialisere tablen med 3
enheder (127.0.0.1, x.x.x.x, y.y.y.y), vil der i virkeligheden være en 4
enhed som hedder 5.5.5.5 bagefter denne tabel.

> Den bliver sat lige der. Så hvis du på en eller anden måde, for lavet en
> variabel med navnet $iptest, så vil den bare blive overskrevet.


Overskrevet, men sandsynligvis ikke slettet, dvs. der stadigvæk er
rester tilbage.

> Og desuden, er serveren så ikke sat op, som ihvertfald jeg foretrækker det:
> http://www.php.net/manual/en/configuration.php#ini.register-globals


Fornuftigt :)


>>Eller hvis jeg kan ændre $REMOTE_ADDR, via en cookie, hvad så?
> Så er din server sat forkert op ;)
> http://www.php.net/manual/en/configuration.php#ini.variables-order


>>I ovenstående tilfælde vil det typisk ikke være noget problem, men hvad
>>nu hvis man kan få PHP til at opfører sig unormalt, eller dette bliver
>>en nye "feature" i den næste version af PHP.>
> Ja... så har PHP/Zend et forklaring problem :)


Eller også er der måske en cache der cacher lidt for effektivt eller
noget andet.

>>Et andet problem kan være hvis jeg kalder scriptet uden at PHP'en bliver
>>fortolket, fx via et indekseringssystem.
> Hvis du har adgang til at gøre det, har du formentlig også adgang til siden.


Indekseringssystemet bør være begrænset af operativ systemets
filrettigheder til kun at skulle have adgang til de data det skal have
adgang til.

>>Endvidere kan et andet problem være hvis der eksistere en proxy server
>>på webserveren, herved kan min afsender adresse blive ændret til
>>127.0.0.1. Nogle webservere kan også benyttes til dette.
>>
> Ligepræcis den adresse er nok ikke et problem
> http://www.networkcomputing.com/netdesign/ip101.html


Hvorfor er 127.0.0.1 ikke noget problem?


> men generelt - ja proxies er et problem, når
> man kontrollerer på IP-adressen.


Et stort problem.

Jeg blev scannet af nogle en dag. De prøvede at se om min webserver
kunne bruges som proxy. Af min webservers log kunne jeg se at de prøvede
at logge min webserver til at besøg et cgi script, der loggede http
requesten.

Jeg fik hurtigt adgang til deres log over sårbar proxyservere og listen
var _meget_ lang, derefter fik jeg "rettet" deres cgi-script til så det
ikke længere kunne logge flere sårbar proxyservere, og kontaktet de
forskellige relevante abuse afdelingere, der hurtigt lukkede cgi
servicen ned.

Min kone der kører en standart opsætning fra hendes arbejde, har compaq
managment system installeret i en konfiguration så den kan bruges som
proxy (uden logning), hun arbejder i et firma med 1200 ansatte. *suk*
1200 arbejdspladser der kan bruges som proxy server uden at adgangen
bliver logget.

>>Den rigtige løsning vil være at implementere brugervalidering i
>>webserveren og ikke i et scriptsprog der er bygget til andre formål.
> I web-serveren? Det løser vel ikke problemet med indekseringsystemet,


Problemet med indekseringssystemet skal løses i indekseringssystemet.

> med mindre du taler om et indekseringssystem, der anvender HTTP, og så er
> det jo ikke problem. Det er da en mærkelig web-server hvis du kan bede den
> om
> at servere den "rå" fil, og gå uden om PHP-fortolkeren.


Så min ovennævnte kommentar om indekseringssystemer og filrettigheder.

---

> Det er kun muligt at specificere IP'en når man er i et LAN, men jeg regner
> med at du vel ikke har noget mod at din lillesøster går ind og kigger på
> det...

Både og

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

"Andreas Kryger Jensen" <xylofonius@hotpop.com> wrote in message
news:a6dji9$rjt$1@sunsite.dk...

> Både og

nårrhh..... lidt porno hva??...
ahh... medmindre hun er også er en drøn (stav baglæns) så tror jeg sku ikke
hun fatter det

ellers kan du altid lave det til password protected area.. og så bare have
det mest sygelige kodeord som du har krypteret i 512bit kode...... så kan
hun prøve lige hvad hun vil!...så kommer hun ikke ind på den side!!!...

(findes 512bit kryptering egentligt endnu?... eller er der ikke nogen der
har gidet sidde og programmere så meget for at det alligevel skulle blive
hacket på ca. 12 min. af endnu en nørd)



--
Steen Nielsen
http://www.msdesign.dk
Professionelt webdesign til fornuftige priser

---

> nårrhh..... lidt porno hva??...
Det sagde jeg ikke noget om.

--
Best regards / Mes meilleures amitiés / Med venlig hilsen
Andreas Kryger Jensen
http://www.compose.subnet.dk
linux er gratis, hvis din tid er værdiløs

---

On Sun, 10 Mar 2002 01:48:27 +0100, "Steen \(MSDesign.dk\)"
<steen@msdesign.dk> wrote:

>(findes 512bit kryptering egentligt endnu?... eller er der ikke nogen der
>har gidet sidde og programmere så meget for at det alligevel skulle blive
>hacket på ca. 12 min. af endnu en nørd)

Både og.

512 bit asymmetrisk kryptering er ikke unormal (jeg kører 2048 bit med
min PGP), men det er ikke så stærkt som det lyder.
512 bit symmetrisk kryptering har jeg ikke hørt om endnu. Mine
volumens er krypteret med en 256-bit AES (rinjdael) rutine. Den skulle
holde de fleste øjne væk et stykke tid.

Ordentlig kryptering kan i øvrigt ikke "hackes". De eneste to måder at
åbne dataene på er :

1) den nemme : kende koden
2) den svære : gætte den

Løsning 2 tager forholdsvis lang tid, da man oftest gætter sig igennem
hele nøglemængden (keyspace) fra en ende af. For AES er der 2^256
mulige nøgler.

Svenne
--
Job-offerings with more than a googolplex* USD a year are instantly accepted.
* = http://www.fpx.de/fp/Fun/Googolplex/

---

"Svenne Krap" <usenet@krap.dk> wrote in message
newsfm8u0fu2tulvbdjotum1no139k3oa525@4ax.com...
> On Sun, 10 Mar 2002 01:48:27 +0100, "Steen \(MSDesign.dk\)"
> <steen@msdesign.dk> wrote:
>
> >(findes 512bit kryptering egentligt endnu?... eller er der ikke nogen der
> >har gidet sidde og programmere så meget for at det alligevel skulle blive
> >hacket på ca. 12 min. af endnu en nørd)
>
> Både og.
>
> 512 bit asymmetrisk kryptering er ikke unormal (jeg kører 2048 bit med
> min PGP), men det er ikke så stærkt som det lyder.
> 512 bit symmetrisk kryptering har jeg ikke hørt om endnu. Mine
> volumens er krypteret med en 256-bit AES (rinjdael) rutine. Den skulle
> holde de fleste øjne væk et stykke tid.
>
> Ordentlig kryptering kan i øvrigt ikke "hackes". De eneste to måder at
> åbne dataene på er :
>
> 1) den nemme : kende koden
> 2) den svære : gætte den
>
> Løsning 2 tager forholdsvis lang tid, da man oftest gætter sig igennem
> hele nøglemængden (keyspace) fra en ende af. For AES er der 2^256
> mulige nøgler.


og så er det er nu jeg ligner en idiot... for jeg har absolut ingen annelse
om hvad der er hvad... men fair nok...
hvordan krypterer man egentligt sin harddisk??..(måske lidt off topic...)
og koster det mange penge...eller er det til at betale for menigmand??

--
Steen Nielsen
http://www.msdesign.dk
Professionelt webdesign til fornuftige priser

---

Steen (MSDesign.dk) wrote:
<SNIP/>
> og så er det er nu jeg ligner en idiot... for jeg har absolut ingen annelse
> om hvad der er hvad... men fair nok...
> hvordan krypterer man egentligt sin harddisk??..(måske lidt off topic...)
> og koster det mange penge...eller er det til at betale for menigmand??
> --
> Steen Nielsen

Hej Steen,

jeg har aldrig brugt det, og ved ikke hvor effektivt (eller ineffektivt)
eller stærkt krypteret det er, men her kommer der lige et hint til en
NTFS-partition:

I Win2000 (måske også i WinXP?) har du mulighed for at lave en
NTFS-partition på din harddisk og dernæst kryptere den ved at vælge
egenskaber for den mappe og vælge Generelt->Avanceret...->Krypter
indhold for at sikre data

Er der nogen, der vil byde ind på den her?

..kold, der godt er klar over at det her er off-topic i news:deiwsp.
--
Hi! I'm your friendly neighborhood signature virus. -|- www.ulrikkold.dk
Copy me to your signature file and help me spread! -|- mig@ulrikkold.dk

---

On Sun, 10 Mar 2002 12:31:22 +0100, "Steen \(MSDesign.dk\)"
<steen@msdesign.dk> wrote:

>og så er det er nu jeg ligner en idiot... for jeg har absolut ingen annelse
>om hvad der er hvad... men fair nok...
>hvordan krypterer man egentligt sin harddisk??..(måske lidt off topic...)
>og koster det mange penge...eller er det til at betale for menigmand??

Der er flere programmer på markedet. Jeg bruger
http://www.drivecrypt.com

Og den koster svjh ca. 50$

Svenne
--
Job-offerings with more than a googolplex* USD a year are instantly accepted.
* = http://www.fpx.de/fp/Fun/Googolplex/

---

Steen (MSDesign.dk) wrote:

> hvordan krypterer man egentligt sin harddisk??..(måske lidt off topic...)
> og koster det mange penge...eller er det til at betale for menigmand??

Du (og andre) vil formentlig have glæde af OSS'en for dk.edb.sikkerhed:

http://a.area51.dk/sikkerhed/hjemme_pc#beskytte

Vh,

Ole

---

> Jeg indsætter koden i starten af siden, og den ser sådan ud:
> <?php
> $iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
> if (!in_array($REMOTE_ADDR,$iptest)) {
> print "You ($REMOTE_ADDR) aren't allowed to see this page";
> exit();
> }
> ?>

Det burde kunne brydes hvis man telnetter ind til serveren og strikker
sin egen HTTP header sammen.

--
Jakob Møbjerg Nielsen
jakob@dataloger.dk
"Hey! He reminds me of someone who looks just like him. - Me"

---

"Jakob Møbjerg Nielsen" wrote:
>
> > Jeg indsætter koden i starten af siden, og den ser sådan ud:
> > <?php
> > $iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
> > if (!in_array($REMOTE_ADDR,$iptest)) {
> > print "You ($REMOTE_ADDR) aren't allowed to see this page";
> > exit();
> > }
> > ?>
>
> Det burde kunne brydes hvis man telnetter ind til serveren og strikker
> sin egen HTTP header sammen.

Det tvivler jeg på.

Variablen REMOTE_ADDR sættes af webserveren ved at kigge på selve
TCP/IP-forbindelsen.

HTTP-headers prefixes af HTTP_, når de laves til (PHP-)variable. Således
vil headeren User-Agent blive gemt i variablen $HTTP_USER_AGENT (eller
$_SERVER["HTTP_USER_AGENT"] om man vil).


Christian

---

> Variablen REMOTE_ADDR sættes af webserveren ved at kigge på selve
> TCP/IP-forbindelsen.

Nååå ja. Jeg var vidst lidt for hurtig der.

--
Jakob Møbjerg Nielsen
jakob@dataloger.dk
"Hey! He reminds me of someone who looks just like him. - Me"

---

Jakob Møbjerg Nielsen <vitz@cs.auc.dk> wrote:
>> Jeg indsætter koden i starten af siden, og den ser sådan ud:
>> <?php
>> $iptest = array ("127.0.0.1", "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
>> if (!in_array($REMOTE_ADDR,$iptest)) {
>> print "You ($REMOTE_ADDR) aren't allowed to see this page";
>> exit();
>
> Det burde kunne brydes hvis man telnetter ind til serveren og strikker
> sin egen HTTP header sammen.

Erhm, er det saa ikke lettere blot at laese filen fra filsystemet?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Erhm, er det saa ikke lettere blot at laese filen fra filsystemet?

Nej. Bare fordi du kan tilnette til en server, betyder det jo ikke at du
har adgang til en konsol. Telnet opretter bare en ganske almindelig
forbindelse. Hvis du skriver 'telnet www.userfriendly.org 80' kan du
"emulere" en hvilken som helst browser.

Men som Christian gør opmærksom på, så kan man ikke snyde $REMOTE_ADDR.
Man vil i hvert fald ikke få noget tilbage

--
Jakob Møbjerg Nielsen
jakob@dataloger.dk
"Hey! He reminds me of someone who looks just like him. - Me"

---

Jakob Møbjerg Nielsen <vitz@cs.auc.dk> wrote:
>> Erhm, er det saa ikke lettere blot at laese filen fra filsystemet?
>
> Nej. Bare fordi du kan tilnette til en server, betyder det jo ikke at du
> har adgang til en konsol. [..]

Jeg laeste din kommentar som at bryde ind i serveren, men det skrev du
jo slet ikke. Kalder man ikke den slags for "miljoeskade"?

Maaske jeg skulle blive toemrer i stedet. Jeg kunne bygge hundehuse og
slappe af nogle gange. Jeg tror jeg gaar i gang med en "hundehus OSS"
med det samme.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/