---

Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?

Er der nogle der kan bryde ind.?
Hvad kan jeg forbedre.?

mvh. Rune Thougaard Kristensen
--
http://www.rtk-design.dk
http://www.vinperlen.dk
http://www.hh-indretning.dk
http://www.dalgaards.dk
http://www.ja-design.tk

---

Rune Thougaard Kristensen skrev:

> Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?

Ikke særlig stor.

> Er der nogle der kan bryde ind.?

Det tog 30 sekunder.

> Hvad kan jeg forbedre.?

Først og fremmest skal du validere forminput _før_ du sender det
til en database. Jeg har skrevet lidt om det her:
   <http://asp-faq.dk/article/?id=95>

Dernæst vil det være en god ide at sørge for at håndtere eventuelle
fejl. For det første fordi det ser bedre ud at give brugerne en
hjemmelavet fejlside og for det andet fordi det sikkerhedsmæssigt
ikke er så godt når man kan læse dele af din sql-syntaks i
fejlmeddelelsen fra asp-parseren.

Held og lykke.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:

| > Er der nogle der kan bryde ind.?
|
| Det tog 30 sekunder.

Ehh. Noe i mot å fortelle oss andre hvordan du gikk fram?
terje

---

Ok, det er jeg kad af at høre..!

Jeg kan ikke selv finde ud af ASP jeg kander kun til HTML og CSS så var det
mulighed for at vi du kunne hjælpe mig via MSN..?

mvh. Rune Thougaard
--

> > Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?
>
> Ikke særlig stor.
>
> > Er der nogle der kan bryde ind.?
>
> Det tog 30 sekunder.
>
> > Hvad kan jeg forbedre.?
>
> Først og fremmest skal du validere forminput _før_ du sender det
> til en database. Jeg har skrevet lidt om det her:
> <http://asp-faq.dk/article/?id=95>
>
> Dernæst vil det være en god ide at sørge for at håndtere eventuelle
> fejl. For det første fordi det ser bedre ud at give brugerne en
> hjemmelavet fejlside og for det andet fordi det sikkerhedsmæssigt
> ikke er så godt når man kan læse dele af din sql-syntaks i
> fejlmeddelelsen fra asp-parseren.
>
> Held og lykke.
> --
> Jens Gyldenkærne Clausen
> Svar venligst under det du citerer, og citer kun det der er
> nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
> hvordan på http://usenet.dk/netikette/citatteknik.html

---

Rune Thougaard Kristensen skrev:

> Jeg kan ikke selv finde ud af ASP jeg kander kun til HTML og
> CSS så var det mulighed for at vi du kunne hjælpe mig via
> MSN..?

Nej. Men prøv at læse det link jeg gav. Det er en nogenlunde skridt
for skridt-gennemgang af hvordan man laver basal validering.

NB: Læs gerne min signatur.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

terje skrev:

>| Det tog 30 sekunder.
>
> Ehh. Noe i mot å fortelle oss andre hvordan du gikk fram?
> terje

Lidt ;) Det kan jo i princippet misbruges. Men på den anden side
har jeg allerede linket til en side der beskriver hvordan man gør.
Læs <http://asp-faq.dk/article/?id=95> - her kan du både se hvordan
man kan komme ind når der ikke valideres og se hvordan man, som
sideforfatter, kan sikre sig mod den type gæster.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen skrev:

> Dernæst vil det være en god ide at sørge for at håndtere
> eventuelle fejl.

Jeg glemte i første omgang at give et link til hvordan man kan lave
fejlhåndtering i asp. Det kommer her:

<http://www.4guysfromrolla.com/webtech/060399-1.shtml>
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:

| Dernæst vil det være en god ide at sørge for at håndtere
| eventuelle fejl.

Yepp. Jeg har nettopp prøvd search funksjonen på http://asp-faq.dk og jeg
greide enkelt å crashe MySQL. Det tok meg bare 30 sekunder
terje

---

terje wrote :

>
> "Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote:
>
>| Dernæst vil det være en god ide at sørge for at håndtere
>| eventuelle fejl.
>
> Yepp. Jeg har nettopp prøvd search funksjonen på http://asp-faq.dk og jeg
> greide enkelt å crashe MySQL. Det tok meg bare 30 sekunder
> terje

Nu er det tilfældigvis mig, der i tidernes morgen har lavet
søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til at fortælle
hvad du gjorde?

--
Jesper Stocholm
http://stocholm.dk

Støt kampen imod softwarepatenter www.softwarepatenter.dk

---

Jesper Stocholm skrev:

> Nu er det tilfældigvis mig, der i tidernes morgen har lavet
> søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til
> at fortælle hvad du gjorde?

Prøv at søge på Mc'Donald

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen wrote :

> Jesper Stocholm skrev:
>
>> Nu er det tilfældigvis mig, der i tidernes morgen har lavet
>> søgefunktionaliteten på asp-faq.dk, så kunne jeg lokke dig til
>> at fortælle hvad du gjorde?
>
> Prøv at søge på Mc'Donald

Ok - det var også den fejl jeg kunne reproducere.

Vi havde tidligere implementeret et "fejl-håndteringslag", der fangede
fejl i applikationen og sendte brugeren videre til en fejlside. Jeg kan
dog se at dette også var en af de ting, der forsvandt ved vores udbyders
crash i foråret.

Jeg har fixet fejlen nu. Hvis der er andre "huller", så vil jeg da gerne
have det at vide.



PS: du har hørt fra Jakob, ikke?

--
Jesper Stocholm
http://stocholm.dk
Støt kampen imod softwarepatenter www.softwarepatenter.dk

---

terje skrev:

> Yepp. Jeg har nettopp prøvd search funksjonen på
> http://asp-faq.dk og jeg greide enkelt å crashe MySQL. Det tok
> meg bare 30 sekunder

Nu har jeg (endnu) ikke selv haft fingrene i hverken asp(x)- eller
html-kode på sitet, men du har helt ret - det er ikke heldigt at
faq-siden har disse problemer.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jesper Stocholm skrev:

> PS: du har hørt fra Jakob, ikke?

Nej.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Rune Thougaard Kristensen wrote:

> Er der nogle der kan bryde ind.?

Jeps.

> Hvad kan jeg forbedre.?

Prøv med flg. brugernavn og password:

'or'a'='a

--
Tony

---

Rune Thougaard Kristensen wrote in
dk.edb.internet.webdesign.serverside.asp:
> Hvor stor er sikkerhedden på min login på www.rtk-design.dk ?
>
> Er der nogle der kan bryde ind.?

Ja.. ganske ganske simpelt.

> Hvad kan jeg forbedre.?

Du skal først og fremmest forbedre din login del..

kig evt her

http://activedeveloper.dk/aspdigital/2001092601.asp

der står en del om det grundlæggende

/Mads

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Kan man ikke få en færdig login med en god sikkerhed.?

mvh. Rune Thougaarrd
--

---

Er der stadig muligt at bryde ind på min login side..??

hvordan.?

hvordan kan det forbedres.?

mvh. Rune Thougaard
--

---

Rune Thougaard Kristensen skrev:

> Er der stadig muligt at bryde ind på min login side..??

Det er i hvert fald langt sværere end det var før. Jeg kan ikke
komme ind med en hurtig metode.


> hvordan.?

Der er jo altid én måde man kan "bryde ind" på - nemlig ved at
ramme en rigtig kombination af brugernavn og adgangskode. Det er
ikke nemt, men i nogle tilfælde kan man gøre det lettere end
nødvendigt.

I første omgang kan man måske gætte navnet på den database dine
brugeroplysninger ligger i. Hvis den ligger i webscope (dvs. har en
adresse der kan nås via en browser), kan et download betyde at
_alle_ dine data er tilgængelige for uvedkommende.

Når du angiver "Domæne" der hvor jeg ville skrive "brugernavn"
giver du et hint om hvordan brugernavnet ser ud. Det er godt for
dine kunder - de kan nok lettere huske deres domæne end et
arbitrært brugernavn - men skidt for sikkerheden. Hvis jeg kender
ejeren af example.com og ved at hans hund hedder rufus er jeg måske
allerede faretruende tæt på at have hans loginoplysninger.

Dog skal man også huske at klappe hesten. Der er forskel på om man
laver et loginsystem til en bank eller til den lokale idrætsklub.
Den sikkerhed du har nu er nok til at udefrakommende ikke på et
øjeblik kan få uberettiget adgang. Spørgsmålet er om det er
sandsynligt at der er nogen der vil arbejde seriøst på at tiltvinge
sig adgang til dit loginområde.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html