---

Hvor sikker er følgende script på en ASP-side:

<%
If Session.Contents("pass") <> "ok" Then
Response.Redirect "default.asp"
End if
%>

Kan det "brydes" nemt?

/Carola

---

"Carola Gregersen" <cg@mmdk.dk> escribió

> Hvor sikker er følgende script på en ASP-side:

<snip>
> Kan det "brydes" nemt?

Alt andet lige kan det ikke brydes med andet end brute force.

---

>
> <snip>
> > Kan det "brydes" nemt?
>
> Alt andet lige kan det ikke brydes med andet end brute force.
>
Dvs. at hvis jeg vil lægge et intranet ud "bag" en hjemmeside, f.eks. som et
subweb, med dette script på alle sider, så kan uvedkommende ikke
umiddelbart komme ind på det? For ikke alle må f.eks. se vor maskin- eller
kundedatabase, så det er jo lidt følsomt.
/Carola

---

"Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
news:3d8aeabd$0$64158$edfadb0f@dspool01.news.tele.dk...
> Hvor sikker er følgende script på en ASP-side:
>
> <%
> If Session.Contents("pass") <> "ok" Then
> Response.Redirect "default.asp"
> End if
> %>
>
> Kan det "brydes" nemt?
>
Jeg vil sige at ovenstående kode er fin.
Det du skal kigge på er hvordan du laver dit login, det er der at
sikkerheden kan ryge sig en tur...
Så hvis du har noget kode til din login-side, så send det ind


MVH
Chrisser

---

> Jeg vil sige at ovenstående kode er fin.
> Det du skal kigge på er hvordan du laver dit login, det er der at
> sikkerheden kan ryge sig en tur...
> Så hvis du har noget kode til din login-side, så send det ind
>
>
> MVH
> Chrisser
>
Login-koden er følgende:

strPassword = Request.Form("password")
If strPassword = "password" Then
Session.Contents ("pass") = "ok"
Else
Response.Redirect "pass_svar.htm"
End If
%>

/Carola

---

"Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
news:3d8aecca$0$64160$edfadb0f@dspool01.news.tele.dk...
>
> Login-koden er følgende:
>
> strPassword = Request.Form("password")
> If strPassword = "password" Then
> Session.Contents ("pass") = "ok"
> Else
> Response.Redirect "pass_svar.htm"
> End If
> %>
>

Vil det sige at passwordet er eks. "password" ?
Altså at der kun eksisterer et password, ikke noget med "brugernavn"
+"password" som testes op mod en database ??
For selv om det er server-side, og derfor ikke kan ses client-side, så
tvivler jeg på sikkerheden i at benytte sig af et hardcodet password, men
lad os høre hvad 'sikkerheds-hajerne' siger ???


Chrisser

---

Chrisser wrote in news:ameqn8$bbm$1@sunsite.dk:

>
> "Carola Gregersen" <cg@mmdk.dk> skrev i en meddelelse
> news:3d8aecca$0$64160$edfadb0f@dspool01.news.tele.dk...
>>
>> Login-koden er følgende:
>>
>> strPassword = Request.Form("password")
>> If strPassword = "password" Then
>> Session.Contents ("pass") = "ok"
>> Else
>> Response.Redirect "pass_svar.htm"
>> End If
>> %>
>>
>
> Vil det sige at passwordet er eks. "password" ?
> Altså at der kun eksisterer et password, ikke noget med "brugernavn"
> +"password" som testes op mod en database ??
> For selv om det er server-side, og derfor ikke kan ses client-side, så
> tvivler jeg på sikkerheden i at benytte sig af et hardcodet password,
> men lad os høre hvad 'sikkerheds-hajerne' siger ???

Der er sådan set ikke noget sikkerhedsmæssigt i vejen ved at matche op
imod et hardkodet password i en applikation. Det er fx meget ofte det
global.asa bruges til. Selfølgelig beror det på antagelser om at der ikke
findes exploits, hvor man kan komme til at se siderne i klartekst.

Problemet med password hardkodet i applikationen er dog, at man ikke kan
skelne imellem de enkelte brugere. Men ud fra et sikkerhedsmæssigt
synspunkt - alt andet lige, og alt det der - kan jeg ikke se, at det
skulle være specielt meget sikrere at opbevare brugernavn etc i selve
siden end i fx. en database.

(og så kan man naturligvis diskutere, om passwords overhovedet skal
opbevares i klartekst nogen steder [1] eller om "password" er et godt
valg som password.)

[1] Jeg er sikker på, at de fleste herinde kender min holdning til det.
--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

> (og så kan man naturligvis diskutere, om passwords overhovedet skal
> opbevares i klartekst nogen steder [1] eller om "password" er et godt
> valg som password.)
>
> [1] Jeg er sikker på, at de fleste herinde kender min holdning til det.
> --
> Jesper Stocholm
> http://stocholm.dk
> http://asp.stocholm.dk
> Svar til gruppen og ikke til mig privat pr. email :|

Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun et
eksempel. Så meget har jeg da fattet indtil videre....

Det var bare en kort bemærkning for at opretholde et image som ikke helt
tungnem....

/Carola

---

Carola Gregersen wrote in
news:3d8b07c5$0$49622$edfadb0f@dspool01.news.tele.dk:

>> (og så kan man naturligvis diskutere, om passwords overhovedet skal
>> opbevares i klartekst nogen steder [1] eller om "password" er et godt
>> valg som password.)

> Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun
> et eksempel. Så meget har jeg da fattet indtil videre....
>
> Det var bare en kort bemærkning for at opretholde et image som ikke
> helt tungnem....

det har nu aldrig været min opfattelse, men jeg håber trods alt, at du
forstår min pointe i den del af mit svar, som du klippede væk.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

>
> > Nåmen, nu er "password" jo heller ikke mit rigtige password, men kun
> > et eksempel. Så meget har jeg da fattet indtil videre....
> >
> > Det var bare en kort bemærkning for at opretholde et image som ikke
> > helt tungnem....
>
> det har nu aldrig været min opfattelse, men jeg håber trods alt, at du
> forstår min pointe i den del af mit svar, som du klippede væk.
>
>
>
> --
> Jesper Stocholm
> http://stocholm.dk
> http://asp.stocholm.dk
> Svar til gruppen og ikke til mig privat pr. email :|

Klart klart!! No offense taken!
/Carola