---

Hvad skal jeg gøre for at undgå linjen: "Der er fejl i enten brugernavn
eller password!"
Når jeg bruger nr. 2 login ?? den skal kun komme hvis ingen af de indtastede
pw og brugernavne virker.


<?
$bruger1 = "open"; //Det rigtige brugernavn
$pw1 = "me"; //Det rigtige password
$bruger2 = "open2"; //Det rigtige brugernavn
$pw2 = "me2"; //Det rigtige password

if($action == "login"){

if(!$brugernavn) echo "Du har ikke indtastet et brugernavn!";
elseif(!$password) echo "Du har ikke indtastet en password!";

else{

if($brugernavn == $bruger1 && $password == $pw1){
?>
<center>
<font size="2" color="#FFFFFF" face="Verdana">Den beskyttede
side...</font><br><br><br>
<a href="side1.html" target="_blank"><font size="3" color="#FFFFFF"
face="Verdana">Side1</font></a>
</center>
<?
}
if ($brugernavn == $bruger2 && $password == $pw2){
?>
<center>
<font size="2" color="#FFFFFF" face="Verdana">Den beskyttede
side...</font><br><br><br>
<a href="side2.html" target="_blank"><font size="3" color="#FFFFFF"
face="Verdana">Side2</font></a>
</center>
<?
}
else echo "Der er fejl i enten brugernavn eller password!";
}
}
else{
?>
<br><br>
<form action="<? echo $PHP_SELF; ?>?action=login" method="post">
<center>
<P style="color:#ffffff;font-family:verdana,
Arial;font-weight:bold;font-size:10;">Loginsektionen<br><br><br>
<table><tr>
<td><font size="2" color="#FFFFFF" face="Verdana">Brugernavn:</font></td>
<td><input type="text" name="brugernavn"></td></tr><tr>
<td><font size="2" color="#FFFFFF" face="Verdana">Password:</font></td>
<td><input type="password" name="password"></td></tr><tr>
<td></td><td><input type="submit" value="Login"></td></tr></table>
</form>
</center>
<P style="color:#ffffff;font-family:verdana,
Arial;font-weight:bold;font-size:8;">Brugernavn og password bliver tilsendt,
når du er tilmeldt.
<?
}
?>

---

"RJ" <ronnij@mail1.stofanet.dk> wrote in message
news:3daaf043$0$11468$ba624c82@nntp02.dk.telia.net...

> <?
> }
> if ($brugernavn == $bruger2 && $password == $pw2){
> ?>

Her skal der stå:

<?
}else if ($brugernavn == $bruger2 && $password == $pw2){
?>

I dit script gør den sådan her:
Test: Virker brugernavn/password 1? Hvis ja, vis et link -- __under alle
omstændigheder, gå videre__
Test: Virker brugernavn/password 2? Hvis ja, vis et link, ellers skriv en
fejl.

Med min rettelse bliver det til:
Test: Virker brugernavn/password 1? Hvis ja, vis et link -- __ellers__
Test: Virker brugernavn/password 2? Hvis ja, vis et link, ellers skriv en
fejl.


--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

> Med min rettelse bliver det til:
> Test: Virker brugernavn/password 1? Hvis ja, vis et link -- __ellers__
> Test: Virker brugernavn/password 2? Hvis ja, vis et link, ellers skriv en
> fejl.
>

Tak for hjælpen

Når nu jeg kommer til at have 10 personer der skal kunne logge ind, er der
så ikke en anden måde man kan lave det her på (en enklere/mere
overskuelig)???

MVH
Ronni

---

"RJ" <ronnij@mail1.stofanet.dk> wrote in message
news:3daafb5d$0$11437$ba624c82@nntp02.dk.telia.net...
> Tak for hjælpen

Det var så lidt :)

> Når nu jeg kommer til at have 10 personer der skal kunne logge ind, er der
> så ikke en anden måde man kan lave det her på (en enklere/mere
> overskuelig)???
Database er oplagt, men lad os nu antage at det har du ikke adgang til:

$loginarray["bruger1"] = "pass1";
$loginarray["bruger2"] = "pass2";
....
$loginarray["brugern"] = "passn";

if ($loginarray[$angivet_brugernavn] == $angivetpassword) {
// så er du inde
} else {
// ska' du hacke?
}

Skal det være ekstra sikkert, smider du en md5() (envejskryptering) på. Et
andet sted laver du folks passwords ved at køre md5("mitpassword"). Den
returnerer noget i stil med 548d53e591e0e91f32e166435fe52ece. Det sætter du
ind i dit array:
$loginarray["bruger2"] = "548d53e591e0e91f32e166435fe52ece";

og i kontrollen:
if ($loginarray[$angivet_brugernavn] == md5($angivetpassword)) {

Så er dine passwords ikke blevet afsløret, selv om nogen skulle kunne læse
din fil.

Men dette er ikke en sikker måde at lave login på! Man skal 'bære det
igennem' og checkke det på hver side. Læs evt.
http://www.phpbuilder.com/columns/tim20000505.php3 hvis du mener det
alvorligt - eller vil lære et par tricks - bla. vedr. at bære loginet
igennem - det er ret klogt, meget af det han skriver :)

--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

> Men dette er ikke en sikker måde at lave login på!

Er den ikke sikker den jeg har lavet???, det vil jeg da mene.

---

"RJ" <ronnij@mail1.stofanet.dk> wrote in message
news:3dab224c$0$11430$ba624c82@nntp02.dk.telia.net...
> > Men dette er ikke en sikker måde at lave login på!
>
> Er den ikke sikker den jeg har lavet???, det vil jeg da mene.

Hvad så hvis jeg tilføjer side1.html til min favorites og du vil af med mig?
Eller hvis jeg for sjov vil se hvad der sker hvis jeg skriver side2.html i
stedet for side1.html?

Der stod engang i et forord til en bog om kryptering, noget i stil med
"There are two kinds of encryption. Those that will keep your kid sister
from reading your documents, and those that will keep powerful governments
from reading your documents. This book is about the latter".

Din login vil nok holde din lillesøster (og min søster og min mor og det
meste af 6 klasse) væk. Men man skal ikke ville det særligt meget for at
bryde den.


--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

> Din login vil nok holde din lillesøster (og min søster og min mor og det
> meste af 6 klasse) væk. Men man skal ikke ville det særligt meget for at
> bryde den.

Nu vil jeg jo ikke kalde dem side1 og side2

---

"RJ" <ronnij@mail1.stofanet.dk> wrote in message
news:3dab2a36$0$797$ba624c82@nntp03.dk.telia.net...
> > Din login vil nok holde din lillesøster (og min søster og min mor og det
> > meste af 6 klasse) væk. Men man skal ikke ville det særligt meget for at
> > bryde den.
>
> Nu vil jeg jo ikke kalde dem side1 og side2

Nej .. men selv om du kalder dem noget andet der er helt umuligt at gætte,
skal jeg stadig kun gætte navnet på filen for at komme ind, frem for en
kombination af brugernavn og password.

Og hvad med det den fil peger på? Har du tænkt dig at vedligholde n
identiske websteder, men alle med lange, unikke, ugættelige navne?


--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

Martin Seebach wrote:
> Nej .. men selv om du kalder dem noget andet der er helt umuligt at
> gætte, skal jeg stadig kun gætte navnet på filen for at komme ind,
> frem for en kombination af brugernavn og password.

Og hvad så hvis filnavnet er over 30 tegn langt? Så er det som regel
nemmere at gætte brugernavn og password. Metoden med ugættelige filnavne
hedder 'security through obfuscation' (eller noget i den stil), og
virker egentlig meget godt, men det er svært at styre et større antal
brugere på denne måde. Det største problem er at, hvis en bruger
beslutter sig for at smide sidenavnet ud i, lad os sige en nyhedsgruppe,
så er der ikke meget at gøre, da det stort set er umuligt at finde ud af
hvem denne bruger er.

> Og hvad med det den fil peger på? Har du tænkt dig at vedligholde n
> identiske websteder, men alle med lange, unikke, ugættelige navne?

Endnu en ulempe. Den eneste rigtige fordel jeg lige kan komme på er at
denne sikkerhedsmodel kan implementeres clientside.

--
Jakob Møbjerg Nielsen | "Five exclamation marks, the
jakob@dataloger.dk | sure sign of an insane mind."
http://www.jakobnielsen.dk/ | -- Terry Pratchett, Reaper Man
Jeg søger et fuldtidsjob som programmør. Tag et kig på hjemmesiden.

---

"Jakob Møbjerg Nielsen" <jakob@dataloger.dk> wrote in message
news:aofc3k$mae$1@sunsite.dk...
> Og hvad så hvis filnavnet er over 30 tegn langt? Så er det som regel
> nemmere at gætte brugernavn og password. Metoden med ugættelige filnavne
> hedder 'security through obfuscation' (eller noget i den stil), og
> virker egentlig meget godt,
Og her bør alle alarm klokker ringe. Jeg er ikke uddannet over gymansiet
(endnu!), men jeg viste hvorfor Security through Obscurity ikke virker før
jeg kunne læse-- Jeg vil overlade argumenterne til

http://www.treachery.net/~jdyson/toorcon2001/Security_Through_Obscurity_Isnt
..pdf

... Men tilbage til square one -- jeg startede med at sige at mor & søs
bliver holdt ude. Og det er det STO kan. Man at begynde at føle sig
sikker -- på nogen måde -- er farligt.

Ja, jeg er paranoid..

--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

Martin Seebach wrote:
> Og her bør alle alarm klokker ringe. Jeg er ikke uddannet over
> gymansiet (endnu!), men jeg viste hvorfor Security through Obscurity
> ikke virker før jeg kunne læse--

Hvad antyder du? Jeg vil aldrig selv bruge STO som sikkerhedsmodel (det
troede jeg fremgik af mit indlæg), men at begynde og quotefucke og
forbinde mit navn med alarmklokker synes jeg er noget svineri.

> Jeg vil overlade argumenterne til
>
>
http://www.treachery.net/~jdyson/toorcon2001/Security_Through_Obscurity_
Isnt
> .pdf

Har du selv læst denne? Der er ikke nogen argumenter i. For god ordens
skyld giver jeg et par stykker selv:

URL'en er password'et, om man vil. Så længe den er skjult har man intet
at frygte, men:

1. Alle der har adgang til den kan give den videre, og man kan finde ud
af hvem der gav oplysningen videre.
2. URL'en passerer højst sandsynligt gennem adskillige knudepunkter på
nettet. Alle disse punkter er en potentiel sikkerhedsrisiko.
3. Offentlige computere (dette gælder mange sikkerhedsmodeller, men især
STO).

> .. Men tilbage til square one -- jeg startede med at sige at mor & søs
> bliver holdt ude. Og det er det STO kan. Man at begynde at føle sig
> sikker -- på nogen måde -- er farligt.

Det jeg hovedsageligt reagerede på, var dit udsagn om at det er lettere
at gætte en enkelt URL, end det er at gætte brugernavn og password. Det
vil svare til at det er lige så let at cracke en *nix box, som det er at
gætte URL'en, for du kender jo allerede brugeren 'root'.

> Ja, jeg er paranoid..

Ja, det bliver man hurtigt, hvis man bekymrer sig bare en lille smule
for sikkerhed.

--
Jakob Møbjerg Nielsen | "Five exclamation marks, the
jakob@dataloger.dk | sure sign of an insane mind."
http://www.jakobnielsen.dk/ | -- Terry Pratchett, Reaper Man
Jeg søger et fuldtidsjob som programmør. Tag et kig på hjemmesiden.

---

Jakob Møbjerg Nielsen wrote:
> 1. Alle der har adgang til den kan give den videre, og man kan finde
> ud af hvem der gav oplysningen videre.


Hov. Der skulle selvfølgelig have stået "...og man kan ikke let finde ud
af..."

--
Jakob Møbjerg Nielsen | "Five exclamation marks, the
jakob@dataloger.dk | sure sign of an insane mind."
http://www.jakobnielsen.dk/ | -- Terry Pratchett, Reaper Man
Jeg søger et fuldtidsjob som programmør. Tag et kig på hjemmesiden.

---

"Jakob Møbjerg Nielsen" <jakob@dataloger.dk> wrote in message
news:aofg3u$8u0$1@sunsite.dk...
> Martin Seebach wrote:
> > Og her bør alle alarm klokker ringe. Jeg er ikke uddannet over
> > gymansiet (endnu!), men jeg viste hvorfor Security through Obscurity
> > ikke virker før jeg kunne læse--
>
> Hvad antyder du? Jeg vil aldrig selv bruge STO som sikkerhedsmodel (det
> troede jeg fremgik af mit indlæg), men at begynde og quotefucke og
> forbinde mit navn med alarmklokker synes jeg er noget svineri.

Det var først bagefter det gik op for mig at det kunne læses sådan -- og jeg
beklager meget. Det var ikke sådan det skulle læses.. Jeg ville have lavet
en anekdote mht. det at gemme en nøgle til sit hus udenfor.. Der netop er
STO i praksis, og alle der gør det tænker længe over det -- og ved at det
ikke er sikkert (=det kræver ingen uddannelses at vide at STO ikke er
sikker).

> Har du selv læst denne? Der er ikke nogen argumenter i. For god ordens
> skyld giver jeg et par stykker selv:

Det var mest det de skriver om falsk sikkerhedsfølelese.

> > .. Men tilbage til square one -- jeg startede med at sige at mor & søs
> > bliver holdt ude. Og det er det STO kan. Man at begynde at føle sig
> > sikker -- på nogen måde -- er farligt.
>
> Det jeg hovedsageligt reagerede på, var dit udsagn om at det er lettere
> at gætte en enkelt URL, end det er at gætte brugernavn og password. Det
> vil svare til at det er lige så let at cracke en *nix box, som det er at
> gætte URL'en, for du kender jo allerede brugeren 'root'.

Ikke hvis man har disablet root login :)

Ok, ja, dårlig eksempel. Men det er lettere at opsnappe/ufrivilligt
kompromitere et url end brugernavn/password - mest fordi et URL ikke er
designet til at være hemmeligt. Det er passwords trods alt. For det meste,
da..

> > Ja, jeg er paranoid..
>
> Ja, det bliver man hurtigt, hvis man bekymrer sig bare en lille smule
> for sikkerhed.
Og hurra for det :)

--
Venlig hilsen
Martin Seebach
- min email adresse virker..

---

Martin Seebach wrote:
> Ikke hvis man har disablet root login :)


<flueknepperi>
su - (jeg har adgang til nogle få maskiner med delt login, altså hvor
root ikke kan være sikker på at det rent faktisk er mig der har gang i
noget).
</flueknepperi>

> Ok, ja, dårlig eksempel. Men det er lettere at opsnappe/ufrivilligt
> kompromitere et url end brugernavn/password

Ja. URL'er bliver heller ikke krypterede ved SSL/SSH lignende
forbindelser.

--
Jakob Møbjerg Nielsen | "Five exclamation marks, the
jakob@dataloger.dk | sure sign of an insane mind."
http://www.jakobnielsen.dk/ | -- Terry Pratchett, Reaper Man
Jeg søger et fuldtidsjob som programmør. Tag et kig på hjemmesiden.

---

RJ wrote:
>>Din login vil nok holde din lillesøster (og min søster og min mor og det
>>meste af 6 klasse) væk. Men man skal ikke ville det særligt meget for at
>>bryde den.
>
>
> Nu vil jeg jo ikke kalde dem side1 og side2

Nej - men som både Jakob Møbjerg og Martin Seeback påpeger så er det
ikke nogen særligt høj sikkerhed du får ud af at opfinde navne på 25
tegn som er svære at huske, men lette at sende som et link.

Metoden er at checke login (det ved du hvordan man gør), og så sætte en
slags "login_true" variabel, som du checker hver gang du viser noget frem.

en enkel løsning kunne være flg _på alle sider_(utestet kode, men det
giver sikkert en idé)

if($login_true===TRUE){

# skriv indhold

}else{
include("DuHarIkkeAdgangHer.php");
}

Knap så enkelt kan du include et script allerøverst på hver side som med
header:location redirecter til en anden side hvis $login_true ikke er TRUE.

For at det hænger sammen er du selvfølgeligt nødt til at have
$login_true tilgængelig på alle sider. Det kan ordnes med cookies eller
med sessions - det sidste er et glimrende værktøj som kan anbefales -
læs lidt i manualen og vupti!

Håber at det kan bruges.

Venligst

Jesper Brunholm

--
Skriv hvor grejet er - jeg har skrevet postnummer i fra-felt.
Luk for de varme varer - giv og forlang kvittering!
¿?Markedsgrupperne¿? Se her hvad og hvorfor:
<http://www.usenet.dk/grupper.pl?list=dk.marked>

---

"Martin Seebach" <martin-nospam@g-bach.dk> writes:

> Der stod engang i et forord til en bog om kryptering, noget i stil med
> "There are two kinds of encryption. Those that will keep your kid sister
> from reading your documents, and those that will keep powerful governments
> from reading your documents. This book is about the latter".

'Applied Crypthography' af Bruce Schneler hvis det har interesse...

/jrm