---

Hej NG

Jeg sidder og laver nogle sider der kræver login og jeg tænker på hvor meget
sikkerhed man kan proppe i det.

Brugerens data(username, password og email) bliver hentet i Access database.

så jeg checker naturligvis brugerens input for ' og erstatter den.
Herudover er password krypteret med SHA256.

Når man så er logget indbliver Session("loggedin") = True
og det er så det de passwordbeskyttede sider checker for, værdien af
Session("loggedin")

Er der andre ting man bør replace i brugernavn og password eller, nogen
forholdsregler man bør foretage?

Når jeg nu leder efter et så_sikkert_som_muligt script, bør man så evt. gå i
gang med SSL også eller vil det være at skyde gråspurve med kanoner?

\Henrik

---

"Henrik" <henrik@REMOVE_MEhejboel.dk> wrote
> Når jeg nu leder efter et så_sikkert_som_muligt script, bør man så evt. gå
i
> gang med SSL også eller vil det være at skyde gråspurve med kanoner?

Du kan stadig risikere at nogle opsnapper passwordet på turen fra klienten
til serveren medmindre du bruger SSL. En anden mulighed er at du krypterer
passwordet clientside før det bliver sendt afsted. Men det kræver så en
implementation af en krypteringsalgoritme i Javascript.

--
Jakob Andersen

---

Henrik wrote :

> så jeg checker naturligvis brugerens input for ' og erstatter den.
> Herudover er password krypteret med SHA256.

stiller du krav til de passwords dine brugere anvender ? Selv den bedste
hash-funktion kommer til kort overfor passwords som "password",
"micro$oft" eller "britney".

> Når jeg nu leder efter et så_sikkert_som_muligt script, bør man så
> evt. gå i gang med SSL også eller vil det være at skyde gråspurve med
> kanoner?

SSL er altid godt ... men hvorfor vil du anvende det ? Det giver jo noget
overhead mht kryptering af al kommunikation. Du kan evt kun bruge SSL på
den side, hvorfra login valideres - og så ikke på resten af sitet. Det
vil hjælpe lidt på det.

I øvrigt: er det passwords-brugerID du forsøger at beskytte - eller er
det indholdet på siderne ?

--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

----------Svar til Jesper Stocholm-------
Sorry jeg fik mailet dig. forkert knap.. beklager ydmygst
\Henrik
---------Svar til NG------------

> stiller du krav til de passwords dine brugere anvender ? Selv den bedste
> hash-funktion kommer til kort overfor passwords som "password",
> "micro$oft" eller "britney".

Det var nok en god ide. så skal man tilknytte en form for ordbog, med en
masse most_used_passwords, det vil jeg prøve at rode med.. sådan en tekstfil
må kunne findes derude et sted


> SSL er altid godt ... men hvorfor vil du anvende det ? Det giver jo noget
> overhead mht kryptering af al kommunikation. Du kan evt kun bruge SSL på
> den side, hvorfra login valideres - og så ikke på resten af sitet. Det
> vil hjælpe lidt på det.

Det var primært til passwordtrafikken mellem brugeren og serveren


> I øvrigt: er det passwords-brugerID du forsøger at beskytte - eller er
> det indholdet på siderne ?

Begge. Prøver at sørge for at man ikke bare kan se brugerens password i
klartekst hvis man skulle få fat i databasen. indholdet på siderne er også
vigtigt at beskytte, og jeg er lidt bange for at min
Session("loggedin")=True er for vag.

Er der andre måder at beskytte siderne på der er mere effektiv?

\Henrik

---

Henrik wrote :

> ----------Svar til Jesper Stocholm-------
> Sorry jeg fik mailet dig. forkert knap.. beklager ydmygst
> \Henrik
> ---------Svar til NG------------

ok ... :)

>> stiller du krav til de passwords dine brugere anvender ? Selv den
>> bedste hash-funktion kommer til kort overfor passwords som
>> "password", "micro$oft" eller "britney".
>
> Det var nok en god ide. så skal man tilknytte en form for ordbog, med
> en masse most_used_passwords, det vil jeg prøve at rode med.. sådan en
> tekstfil må kunne findes derude et sted

det er nu ikke nødvendigt. Du kan også "blot"vælge at teste på, om
password indeholder både store og små bogstaver, tal og specialtegn samt
er af en mindste længde. Hvis du vil lave en totalt porno-model, så
implementerer du en adaptiv Markov-model, der givet et password fra en
bruger fortæller dig, om dette password med stor sandsynlighed stammer
fra et givet sprog (alfabet). Jeg har selv en drøm om en dag at gøre
dette.



>> SSL er altid godt ... men hvorfor vil du anvende det ? Det giver jo
>> noget overhead mht kryptering af al kommunikation. Du kan evt kun
>> bruge SSL på den side, hvorfra login valideres - og så ikke på resten
>> af sitet. Det vil hjælpe lidt på det.
>
> Det var primært til passwordtrafikken mellem brugeren og serveren

så synes jeg du skal kræve SSL til den fil, der validerer passwords og
evt den side, hvorpå man kan ændre dit password. Det bør imo være langt
nok. Læg mærke til, at du faktisk ikek behøver SSL på den side, hvor
passwordet indtastes.

>> I øvrigt: er det passwords-brugerID du forsøger at beskytte - eller
>> er det indholdet på siderne ?
>
> Begge.

Hvis du er bange for, at der sidder nogen og lytter til IP-trafikken til
og fra din server, så er du nødt til at have noget SSL - men prøv lige
overveje først, hvor vigtigt det er. Hvis du vil gøre patient-journaler
tilgængelige via din server, så er det nok nødvendigt ... men ellers
synes jeg du skal tænke over det igen.

> Prøver at sørge for at man ikke bare kan se brugerens password
> i klartekst hvis man skulle få fat i databasen. indholdet på siderne
> er også vigtigt at beskytte, og jeg er lidt bange for at min
> Session("loggedin")=True er for vag.

det tror jeg ikke den er - jeg har mig bekendt ikke hørt om, at der er
nogen, der har lavet en session-id overtagelse.

> Er der andre måder at beskytte siderne på der er mere effektiv?

hive stikket ud ? Digitale signaturer ? applets der (de)krypterer data ?

der er masser af måder ... men de skal jo passe til den løsning de skal
bruges i.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

>Hvis du vil lave en totalt porno-model, så
> implementerer du en adaptiv Markov-model, der givet et password fra en
> bruger fortæller dig, om dette password med stor sandsynlighed stammer
> fra et givet sprog (alfabet). Jeg har selv en drøm om en dag at gøre
> dette.

hmmm... ja, det var da en opgave... mindre må kunne gøre det

> Hvis du er bange for, at der sidder nogen og lytter til IP-trafikken til
> og fra din server, så er du nødt til at have noget SSL - men prøv lige
> overveje først, hvor vigtigt det er. Hvis du vil gøre patient-journaler
> tilgængelige via din server, så er det nok nødvendigt ... men ellers
> synes jeg du skal tænke over det igen.

Det er ikke nødvendigt, blot en tanke som jeg legede med, netop for at der
ikke skulle være nogen der sniffede(!) passwordet, men en SSL vil også være
for dyr(tror jeg, har ikke mødt nogen gratis SSL certifikater endnu, har
måske ledt de forkerte steder?) til dette formål


> det tror jeg ikke den er - jeg har mig bekendt ikke hørt om, at der er
> nogen, der har lavet en session-id overtagelse.

Oki, lyder godt.

> hive stikket ud ?
I hvert fald en sikker løsning...

>Digitale signaturer ?
Hvordan fungerer det egentlig i praksis?

>applets der (de)krypterer data ?
jep, leder efter et applet der SHA-256'er passwordet inden det forlader
brugeren...

\Henrik

---

Henrik wrote :

>>Hvis du vil lave en totalt porno-model, så
>> implementerer du en adaptiv Markov-model, der givet et password fra
>> en bruger fortæller dig, om dette password med stor sandsynlighed
>> stammer fra et givet sprog (alfabet). Jeg har selv en drøm om en dag
>> at gøre dette.
>
> hmmm... ja, det var da en opgave... mindre må kunne gøre det

det kommer jo an på, hvad du vil beskytte.

>> Hvis du er bange for, at der sidder nogen og lytter til IP-trafikken
>> til og fra din server, så er du nødt til at have noget SSL - men prøv
>> lige overveje først, hvor vigtigt det er. Hvis du vil gøre
>> patient-journaler tilgængelige via din server, så er det nok
>> nødvendigt ... men ellers synes jeg du skal tænke over det igen.
>
> Det er ikke nødvendigt, blot en tanke som jeg legede med, netop for at
> der ikke skulle være nogen der sniffede(!) passwordet, men en SSL vil
> også være for dyr(tror jeg, har ikke mødt nogen gratis SSL
> certifikater endnu, har måske ledt de forkerte steder?) til dette
> formål

du kan få et trial-certifikat ved www.thawte.com

>>Digitale signaturer ?
> Hvordan fungerer det egentlig i praksis?

at man underskriver digitalt ? Nej, jeg ved god, at du nok efterlyser
noget mere, men det er en lang historie. Jeg har skrevet mit bachelor-
projekt om digitale signaturer, så hvis du har lyst, så må du gerne få en
kopi.

>>applets der (de)krypterer data ?
> jep, leder efter et applet der SHA-256'er passwordet inden det
> forlader brugeren...

hehe ... med fordel kunne du så kigge i mit bachelor-projekt, da vi her
implementerede en java client/server løsning til digital signering og
verificering.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

> >>Digitale signaturer ?
> > Hvordan fungerer det egentlig i praksis?
>
> at man underskriver digitalt ? Nej, jeg ved god, at du nok efterlyser
> noget mere, men det er en lang historie. Jeg har skrevet mit bachelor-
> projekt om digitale signaturer, så hvis du har lyst, så må du gerne få en
> kopi.

Det vil jeg meget gerne.du skal være velkommen til at maile den, eller en
url til mig på henrik at hejboel dot dk

Jeg takker mange gange for hjælpen, det har været lærerigt


mvh. Henrik

---

> Jeg har skrevet mit bachelor-
> projekt om digitale signaturer, så hvis du har lyst, så må du gerne
> få en kopi.

Hvis dit generøse tilbud også gælder andre, vil jeg meget gerne læse med!

PFT, Kim

---

Kim Bach Petersen wrote :

>> Jeg har skrevet mit bachelor-
>> projekt om digitale signaturer, så hvis du har lyst, så må du gerne
>> få en kopi.
>
> Hvis dit generøse tilbud også gælder andre, vil jeg meget gerne læse
> med!

det kan du tro ... jo større publikum jo bedre.



PostScript-format (bedste kvalitet):
http://stocholm.dk/pmp/downloads/download.asp?file=main.ps

PDF-format:
http://stocholm.dk/pmp/downloads/download.asp?file=main.pdf

Vær i øvrigt opmærksomme på, at det var et matematisk projekt, så vægten
er lagt dér og ikke specielt på implementeringen af dimsen. De med
interessen for matematikken bør kigge specielt på kap. 5 hvorimod kap
2,3,4 + 6 nok ellers er de mest interessante. Kildekode er i appendix
eller på http://www.stocholm.dk/pmp/downloads/download.asp?
file=javakode.zip

Men: nu er dette jo meget, meget, meget fjernt fra ASP, så kan de
interesserede ikke skrive til mig - så kan vi tage den derfra.



--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

> det kan du tro ... jo større publikum jo bedre.

Tak - så er der lidt inspirerende læsning til efterårsferien!

Kim