---

Harj folkens og god påske btw.

Det er ikke et desideret spørgsmål - nærmere ønsket info:
Hvordan laver man en login så den fungere optimalt? Jeg tænker alle kan
finde ud af at lave noget ASP der kontakter en database men er der nogle
sikkerhedsforanstaltninger der kan gøre det sværer fx at downloade databasen
eller noget andet som vil give adgang uden brugernavn og password...evt
nogle ASP-scripts som er uundværelige af hensyn til sikkerhed mm.

Bare lige rart at vide før jeg begynder at sætte loginnet op =) så jeg ikke
skal ind og ændre en hel masse =)



--

Hilsen fra
Peter Ingemann Hansen
Flower me at 89253469
O_/ /_O_/
/ )) [] _O_/ \_O_
\\ // / )( (( \
// \\ / \ / \

---

> Det er ikke et desideret spørgsmål - nærmere ønsket info:
> Hvordan laver man en login så den fungere optimalt? Jeg tænker alle kan
> finde ud af at lave noget ASP der kontakter en database men er der nogle
> sikkerhedsforanstaltninger der kan gøre det sværer fx at downloade
databasen
> eller noget andet som vil give adgang uden brugernavn og password...evt
> nogle ASP-scripts som er uundværelige af hensyn til sikkerhed mm.

Nu kan jeg jo kun sige, hvad jeg sådan cirka selv gør:

1. Databasen ligger udenfor områder med web-adgang på serveren, typisk sådan
at den ligger et niveau under mappen wwwroot. Dermed kan den kun adresseres
af serveren selv og ikke hentes af gæster. En del webhoteller kører derfor
med denne struktur:

T:\domæne\database
T:\domæne\wwwroot

hvor det kun er filer i mappen wwwroot, der er tilgængelige via http.

2. Ved login tjekkes op mod databasen og godkendes brugeren sættes en
sessions-variabel, der så kan tjekkes på de beskyttede sider. Det kan laves
med true/false eller med niveauer, hvis man har flere kategorier af
beskyttede sider. En par tidligere tråd behandler dette.

3. En del sider, der fx ændrer i en database med oplysninger, kan beskyttes
yderligere ved at man tjekker, at data kommer fra den rette side - hvis de
ikke gør det, er det tegn på snyd. Samtidig kan man sikre sig mod at en side
kaldes to gange med browserens 'tilbage-knap' imellem. Altså noget i stil
med:

Kildeside:
session.contents("kilde") = "retminadresse"
Destinationsside:
if not(session.contents("kilde") = "") then
response.redirect "/default.asp"
else
session.contents("kilde") = ""
end if

4. Kræver siderne et højt sikkerhedsniveau må man overveje at kryptere
adgangskoderne, så de ikke kan læses direkte i databasen - bare for det
tilfælde, at én med adgang til serveren skulle have skumle hensigter.

Kim

---

On Fri, 29 Mar 2002 20:30:05 +0100, "Kim Bach Petersen"
<kim@kensho.dk> wrote:

>4. Kræver siderne et højt sikkerhedsniveau må man overveje at kryptere
>adgangskoderne, så de ikke kan læses direkte i databasen - bare for det
>tilfælde, at én med adgang til serveren skulle have skumle hensigter.

Da det er ret enkelt at kryptere adgangskoderne, synes jeg man bør
gøre det, hvis det er noget, andre skal bruge - også uanset om der
kræves særlig høj sikkerhed af lige netop de sider, man har lavet.

Dels slipper du (som den der har adgang til databasen) for mistanke om
adgang til folks adgangskoder.

Dels er det jo ofte sådan at folk (på trods af alle forskrifter osv.)
bruger samme adgangskode til mange forskellige ting (fordi de færreste
magter at holde styr på 20-30 forskellige koder).
Så selv om dit eget projekt ikke er i "høj-risiko-gruppen", så kan dit
"hobby-projekt" måske hjælpe til at give adgang til de mere tunge
sager.


Mvh. Jørn

--
Jørn Andersen,
Brønshøj

---

[SNIP]
> Da det er ret enkelt at kryptere adgangskoderne, synes jeg man bør
> gøre det, hvis det er noget, andre skal bruge - også uanset om der
> kræves særlig høj sikkerhed af lige netop de sider, man har lavet.
>
> Dels slipper du (som den der har adgang til databasen) for mistanke om
> adgang til folks adgangskoder.
>
> Dels er det jo ofte sådan at folk (på trods af alle forskrifter osv.)
> bruger samme adgangskode til mange forskellige ting (fordi de færreste
> magter at holde styr på 20-30 forskellige koder).
> Så selv om dit eget projekt ikke er i "høj-risiko-gruppen", så kan dit
> "hobby-projekt" måske hjælpe til at give adgang til de mere tunge
> sager.

Når I skriver kryptering af adgangskoder mener I?
Ikke at jeg ikke ved hvad en kryptering er (har selv leget en del med det i
VB - ikke fordi jeg er den vilde Enigma) men jeg tænker på om I mener noget
med at lave sin egen Cæsar-substituation eller noget med en krypterings-dims
(læs: funktion) som er indbygget i en ASP-kommando?
Hilsen fra Peter

---

On Sat, 30 Mar 2002 23:24:52 +0100, "Peter Ingemann Hansen"
<dingemann@hotmail.com> wrote:

>Når I skriver kryptering af adgangskoder mener I?
>Ikke at jeg ikke ved hvad en kryptering er (har selv leget en del med det i
>VB - ikke fordi jeg er den vilde Enigma) men jeg tænker på om I mener noget
>med at lave sin egen Cæsar-substituation eller noget med en krypterings-dims
>(læs: funktion) som er indbygget i en ASP-kommando?

Alle de der svære ord, kender jeg ikke så meget til :)
Jeg har brugt en md5-funktion, som jeg har lånt fra Jesper Stockholms
webside. Så længe det ikke er Nationalbanken er det godt nok til mig.

Der findes selvfølgelig stærkere kryptering, men det man hyppigst har
behov er at sikre sig, at folk ikke uden at bruge særlig energi og
ressourcer kan få adgang. Personligt kan jeg ike umiddelbart
forestille mig at skulle lave noget, der kræver "hardcore-kryptering".

Mvh. Jørn

--
Jørn Andersen,
Brønshøj

---

Jørn Andersen wrote in news:45mcauonjia3pdf2l9jbgk78a8f7c7hs2m@4ax.com:

> On Sat, 30 Mar 2002 23:24:52 +0100, "Peter Ingemann Hansen"
> <dingemann@hotmail.com> wrote:
>
>>Når I skriver kryptering af adgangskoder mener I?

der menes faktisk "hashing" af passwords, da de egentlig ikke krypteres.
Bitsene i passwordet rystes blot godt og grundigt rundt iblandt hinanden
på en struktureret måde. Dette bevirker, at man ikke kan gætte en streng,
hvis hash-værdi svarer til værdien i databasen.

>>Ikke at jeg ikke ved hvad en kryptering er (har selv leget en del med
>>det i VB - ikke fordi jeg er den vilde Enigma) men jeg tænker på om I
>>mener noget med at lave sin egen Cæsar-substituation eller noget med
>>en krypterings-dims (læs: funktion) som er indbygget i en
>>ASP-kommando?
>

Det bedste råd jeg på stående fod kan give dig er :

!!! Brug altid standard-funktioner til at kryptere og hashe !!! [1]

Med sandsynligheden 1-(1/2^128) kan jeg næsten garantere dig, at du ikke
kan finde på noget, der er bedre end de standardfunktioner, der allerede
er lavet :)

> Alle de der svære ord, kender jeg ikke så meget til :)
> Jeg har brugt en md5-funktion, som jeg har lånt fra Jesper Stockholms

hrmf ... det er "Stocholm" ... :)

> webside. Så længe det ikke er Nationalbanken er det godt nok til mig.
>

og Nationalbanken kunne sikkert også godt anvende fx MD5 uden at give køb
på sikkerheden. Hvis man lider af total paranoia, så kan man evt vælge
enten SHA-1 eller SHA-256 i stedet for MD5.

:)

[1] Beklager udråbstegnene ... men jeg synes, at de er berettigede :)
--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

On Mon, 1 Apr 2002 19:44:57 +0000 (UTC), Jesper Stocholm
<spam200203@stocholm.dk> wrote:

>hrmf ... det er "Stocholm" ... :)

Damned! Sorry!
Skal ikke ske igen. :)

Mvh. Jørn

--
Jørn Andersen,
Brønshøj