---

Hejsa

Jeg er igang med at lave en side hvor der skal kunne indtastes
nogle
informationer. Den side hvor disse informationer skal indtastes
skal kun være tilgængelig for folk med det korrekte
password/username.

Og så er mit spørgsmål, hvordan får jeg beskyttet denne
indtastningside med password/username.?

Jeg vil gerne have det til at fungere på følgende måde.:

Personen som skal indtaste informationen, trykker på det
pågældende link, hvorefter der skal komme et popup vindue, med
ønske om username og password
(jeg kan klare mig kun med password, hvis det er.). Ved korrekt
username / password skal personen få adgang til
indtastningssiden.

Ved forkert username / password skal han have at vide at det er
forkert også have muligheden for at prøve igen..

Jeg bruger ASP.

Nogen der kan hjælpe?

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

"Thomas Lund" <dotdk@slashnet.dk> wrote in message
news:atqp64$qki$1@sunsite.dk...
> Hejsa
>
> Jeg er igang med at lave en side hvor der skal kunne indtastes
> nogle
> informationer. Den side hvor disse informationer skal indtastes
> skal kun være tilgængelig for folk med det korrekte
> password/username.
>
> Og så er mit spørgsmål, hvordan får jeg beskyttet denne
> indtastningside med password/username.?

Det kan laves på mange måder.
Jeg går ud fra du kører IISx?
Har du fri adgang til serveren?

Personligt bruger jeg ofte "Windows Authentication". Ganske enkelt opretter
du brugerne på serveren som windows-bruger, og giver denne adgang til det
bibliotek hvori dine indtastningssider ligger. Fjern samtidig "Anonmous
Access" på folderen, og vupti, IE m.fl. spørger nu brugeren om password når
du sender dem ind til en fil i mappen. Nemt og enkelt, hvis man da har
adgang til at styre brugere på serveren.

Du kan jo også lægge din brugere i en database og kontrollere dem den vej.
Som sagt, der findes mange løsninger. Skriv lidt om hvad du mest hælder til,
evt. henvis til en side som du synes er smart :)


mvh
///JJ

---

///JJ wrote :

> "Thomas Lund" <dotdk@slashnet.dk> wrote in message
> news:atqp64$qki$1@sunsite.dk...
>> Hejsa
>>
>> Jeg er igang med at lave en side hvor der skal kunne indtastes
>> nogle
>> informationer. Den side hvor disse informationer skal indtastes
>> skal kun være tilgængelig for folk med det korrekte
>> password/username.

> Det kan laves på mange måder.
> Jeg går ud fra du kører IISx?
> Har du fri adgang til serveren?
>
> Personligt bruger jeg ofte "Windows Authentication". Ganske enkelt
> opretter du brugerne på serveren som windows-bruger, og giver denne
> adgang til det bibliotek hvori dine indtastningssider ligger. Fjern
> samtidig "Anonmous Access" på folderen, og vupti, IE m.fl. spørger nu
> brugeren om password når du sender dem ind til en fil i mappen. Nemt
> og enkelt, hvis man da har adgang til at styre brugere på serveren.

Din løsning bør som minimum indebære en SSL-indkapsling af trafikken
imellem din server og klienten. Passwords og brugerids til din server
sendes i dette tilfælde i klartekst til serveren ved _hvert_ request.
Hvis man laver en ASP-løsning, der indebærer login-credentials i session-
data, så sendes disse data trods alt kun en enkelt gang - og ikke som en
del af headeren i requestet - men som en del af body'en. Det gør det
trods alt lidt sværere at opsnappe disse oplysninger (det, at det kun
sker én gang). Derudover vil opsnappelse af en brugers id+password i en
ASP-løsning ikke nødvendigvis give adgang til selve serveren - hvilket
IIS-login løsningen vil.



--
Jesper Stocholm - http://stocholm.dk

Svar til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html

---

///JJ skrev:

> Personligt bruger jeg ofte "Windows Authentication".

Det er enkelt og så vidt jeg ved temmelig sikkert - men det virker
kun med IE. Jeg bruger det kun til administrationssider og andet
hvor der kun er en begrænset brugerskare der skal benytte dem (og
jeg ved at de benytter IE).
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen wrote :

> ///JJ skrev:
>
>> Personligt bruger jeg ofte "Windows Authentication".
>
> Det er enkelt og så vidt jeg ved temmelig sikkert - men det virker
> kun med IE. Jeg bruger det kun til administrationssider og andet
> hvor der kun er en begrænset brugerskare der skal benytte dem (og
> jeg ved at de benytter IE).

Ved anvendelse af IIS uden anonym adgang kan følgende slås til

Basic Authentication
Integrated Windows Authentication
Integrated authentication for Windows Domain servers

Førstnævnte mulighed sender userid+password med hvert eneste request til
webserveren - men virker i alle browsere. Sidstnævnte laver sådan noget
LAN-credentials/challenge-response windows-fittelihut, som kun IE
forstår.

--
Jesper Stocholm - http://stocholm.dk

Svar til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html

---

Jesper Stocholm skrev:

> Ved anvendelse af IIS uden anonym adgang kan følgende slås til
>
> Basic Authentication

> Førstnævnte mulighed sender userid+password med hvert eneste
> request til webserveren - men virker i alle browsere.

Ja. Men man bliver advaret om svækket sikkerhed når man slås "bacis
authentication" til. Hvor meget det så betyder i praksis ved jeg
ikke - men loginoplysninger i klartekst plejer ikke at være smart.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

> Det kan laves på mange måder.
> Jeg går ud fra du kører IISx?
> Har du fri adgang til serveren?

Jeg benytter IIS, for at kunne kode offline, men det færdige produkt skal
ligges op på en webserver som jeg kun har almindelig "kunde" adgang til.

Det som password beskyttelsen beskytter er ikke nogen form for vital
information, men passwordet skal bare være der for at alle og enhver kan komme
ind på indtastningssiden. Det drejer sig om at en person skal kunne indtaste
en dato og et tal. Så løsningen behøver ikke være 100% sikker men bare
forhindre at alle og enhver kan komme ind på indtastningssiden.

> Du kan jo også lægge din brugere i en database og kontrollere dem den vej.
> Som sagt, der findes mange løsninger. Skriv lidt om hvad du mest hælder til,
> evt. henvis til en side som du synes er smart :)

Jeg har tænkt lidt på database løsningen, men jeg ville gerne undgå den, men
det er måske alligevel det nemmeste....

Mvh.
Thomas

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP ???
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

> Det drejer sig om at en person skal kunne...

Et forslag:


--- Login-siden (login.asp) ---

<%

If Request.Form("Submit") = "Login" Then
strUser = Trim(Replace(Request.Form("user"), "'", "''"))
strPass = Trim(Replace(Request.Form("pass"), "'", "''"))
Select Case strUser
Case "navn1"
If (strUser = "navn1" AND strPass = "kode1") Then
Session("admin") = 1
Response.Redirect("beskyttet_side.asp")
End If
Case "navn2"
If (strUser = "navn2" AND strPass = "kode2") Then
Session("admin") = 1
Response.Redirect("beskyttet_side.asp")
End If
Case Else
strFail = "Brugernavn eller kodeord er ikke korrekt! Adgang
n&aelig;gtet!"
End Select
End If

%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Login</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body>
<%

If strFail <> "" Then
Response.Write("<p style=""color: red;"">" & strFail & "</p>")
Set strFail = Nothing
End If

%>
<form action="login.asp" method="post" name="login" id="login">
<p>
Brugernavn: <input name="user" type="text" id="user">
</p>
<p>Kodeord:
<input name="pass" type="password" id="pass">
</p>
<p>
<input name="Submit" type="submit" id="Submit" value="Login">
</p>
</form>
</body>
</html>

--- Slut på Login-siden (login.asp) ---


--- Beskyttet side (beskyttet_side.asp) ---

<%

If NOT Session("admin") = 1 Then
Response.Redirect("login.asp")
End If

%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Beskyttet</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body>
<p>Tekst, der ikke kan ses af andre end brugere der er logget på!</p>
</body>
</html>

--- Slut på Beskyttet side (beskyttet_side.asp) ---


Du kan jo så bare oprette en "case" til alle de brugere der skal benytte
systemet. Husk at ændre i koden så det bliver deres rigtige brugernavne og
adgangskoder.


Mvh. Voller.

---

Voller wrote :

>> Det drejer sig om at en person skal kunne...
>
> Et forslag:
>
>
> --- Login-siden (login.asp) ---
>
> <%
>
> If Request.Form("Submit") = "Login" Then
> strUser = Trim(Replace(Request.Form("user"), "'", "''"))
> strPass = Trim(Replace(Request.Form("pass"), "'", "''"))
> Select Case strUser
> Case "navn1"
> If (strUser = "navn1" AND strPass = "kode1") Then
> Session("admin") = 1
> Response.Redirect("beskyttet_side.asp")
> End If
> Case "navn2"
> If (strUser = "navn2" AND strPass = "kode2") Then

i dette tilfælde med passwords i klartekst i selve ASP-koden kan man med fordel lige
gennemlæse følgende artikel på gruppens FAQ: http://asp-faq.dk/article/?id=52


--
Jesper Stocholm - http://stocholm.dk

Svar til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html

---

> i dette tilfælde med passwords i klartekst i selve ASP-koden kan man med
fordel lige
> gennemlæse følgende artikel på gruppens FAQ:
http://asp-faq.dk/article/?id=52

Jah, ved det godt, men det lød ikke som om han have brug for det helt store
sikkerhedsapparat. Det blev til en light-edition i denne omgang.



Mvh. Voller.

---

Voller wrote :

>> i dette tilfælde med passwords i klartekst i selve ASP-koden kan man
>> med fordel lige gennemlæse følgende artikel på gruppens FAQ:
> http://asp-faq.dk/article/?id=52
>
> Jah, ved det godt,



> men det lød ikke som om han have brug for det helt
> store sikkerhedsapparat. Det blev til en light-edition i denne omgang.

ja ... men gode design-vaner kan ikke komme tidligt nok :) Det er meget
sværere at ændre tankegang senere hen.



--
Jesper Stocholm - http://stocholm.dk
** Vil det sige, at ham Lars er et stort brød på 15 år ? **
Svar venligst til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html

---

> ja ... men gode design-vaner kan ikke komme tidligt nok :) Det er meget
> sværere at ændre tankegang senere hen.

.... sagde manden, der ikke overholdt w3c.org's anbefalinger
(http://validator.w3.org/check?uri=http://stocholm.dk).
Ej... Den var langt under bæltestedet. Sorry, sorry, sorry.

Du har ganske ret.


Med jule-overgearede hilsner.
Voller.

---

Voller wrote :

>> ja ... men gode design-vaner kan ikke komme tidligt nok :) Det er
>> meget sværere at ændre tankegang senere hen.
>
> ... sagde manden, der ikke overholdt w3c.org's anbefalinger
> (http://validator.w3.org/check?uri=http://stocholm.dk).
> Ej... Den var langt under bæltestedet. Sorry, sorry, sorry.

det må jeg jo tage på mig ... jeg var nok klar over, at der var nogle
småting, der skulle luges ud - men jeg er selv lidt overrasket over, at
det var så mange (det er meget lang tid siden jeg har kigget specielt
meget på mit website, jeg har jo fx haft travlt med asp-faq.dk). Hvis jeg
skal forsvare mig selv lidt, så ser det dog ud til, at fejlene ikke er
manglende elementer eller lignende - men "blot" at nogle af elementerne
er skrevet med versaler og at fx img-elementerne ikke er afsluttede.

.... og så er dette jo en serverside-gruppe ... og ikke en HTML-gruppe :)


Og god jul herfra også ... og jeg skal nok rette fejlene ...

--
Jesper Stocholm - http://stocholm.dk
if you are competing with the darknet, you must compete on the darknet's
own terms: that is convenience and low cost rather than additional
security. ( http://crypto.stanford.edu/DRM2002/darknet5.doc )