---

Hejsa.

Jeg er webmaster på siden www.dkbeer.dk hvor vi skal have lavet et afsnit
kun for medlemmer (med password og hele pivtøjet), men da mine nuværede
evner er begrænsede skal jeg jo lære noget mere for at det kan lade sige
gøre. Og spørgsmålet er så: Kan det lade sig gøre med en rimelig sikkerhed i
html (som jeg jo kender lidt til) eller skal jeg i gang med at lære noget
asp/php eller lign?

Hele www.dkbeer.dk er lavet i notepad så evt et godt program der kan lave
det ovenstående er i også meget velkomne til at komme med forslag til.

Jeg håber jeg har ramt den rigtige gruppe da der jo er lidt at vælge imellem
i dk.edb.internet.webdesign.* hirakiet.

På forhånd tak.

Colzen

---

Du kan finde færdiglavet script på www.activedeveloper.dk under downloads
"Colzen" <colzen@SLETcolzen.dk> skrev i en meddelelse
news:bkhn5n$1q9f$1@news.cybercity.dk...
> Hejsa.
>
> Jeg er webmaster på siden www.dkbeer.dk hvor vi skal have lavet et afsnit
> kun for medlemmer (med password og hele pivtøjet), men da mine nuværede
> evner er begrænsede skal jeg jo lære noget mere for at det kan lade sige
> gøre. Og spørgsmålet er så: Kan det lade sig gøre med en rimelig sikkerhed
i
> html (som jeg jo kender lidt til) eller skal jeg i gang med at lære noget
> asp/php eller lign?
>
> Hele www.dkbeer.dk er lavet i notepad så evt et godt program der kan lave
> det ovenstående er i også meget velkomne til at komme med forslag til.
>
> Jeg håber jeg har ramt den rigtige gruppe da der jo er lidt at vælge
imellem
> i dk.edb.internet.webdesign.* hirakiet.
>
> På forhånd tak.
>
> Colzen
>
>

---

se her
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="da" lang="da">
<head>
<title>Skærmopløsning og størrelse på browservinduet</title>
</head>
<body>

<script type="text/javascript">
<!-- Dette script og mange flere -->
<!-- findes hos http://www.html.dk -->
<!-- Start

function CheckPassword() {
var username=document.login.username.value;
var password=document.login.password.value;
location.href = username + password+'.htm';
}

// Slut -->
</script>

<form method="post" action="ingen_javascript.htm"
onsubmit="CheckPassword();return false;" name="login">
<pre>
Username: <input type="text" name="username">
Password: <input type="password" name="password">
</pre>
<input type="submit" value="log på"
onclick="CheckPassword();return false;">
</form>

</body>
</html>

"Colzen" <colzen@SLETcolzen.dk> skrev i en meddelelse
news:bkhn5n$1q9f$1@news.cybercity.dk...
> Hejsa.
>
> Jeg er webmaster på siden www.dkbeer.dk hvor vi skal have lavet et afsnit
> kun for medlemmer (med password og hele pivtøjet), men da mine nuværede
> evner er begrænsede skal jeg jo lære noget mere for at det kan lade sige
> gøre. Og spørgsmålet er så: Kan det lade sig gøre med en rimelig sikkerhed
i
> html (som jeg jo kender lidt til) eller skal jeg i gang med at lære noget
> asp/php eller lign?
>
> Hele www.dkbeer.dk er lavet i notepad så evt et godt program der kan lave
> det ovenstående er i også meget velkomne til at komme med forslag til.
>
> Jeg håber jeg har ramt den rigtige gruppe da der jo er lidt at vælge
imellem
> i dk.edb.internet.webdesign.* hirakiet.
>
> På forhånd tak.
>
> Colzen
>
>

---

"jg" <f1950@hotmail.com> skrev i en meddelelse
news:3f6c6314$0$145$edfadb0f@dread11.news.tele.dk...
> se her
<SNIP>

Smart og let Mange tak for det.

Jeg tror nok at det kan dække mit behov, skal dog lige snakke med
foreningens bestyrelse.
Men kan det ikke lade sig gøre at åbne siden i et nyt vindue når man trykker
på log på?
Jeg har prøvet lidt, men kan ikke få det til at lykkedes.

Colzen

---

Jo, bare brug et normalt pop-up script i stedet for linien med
location.href.

Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.

On Sat, 20 Sep 2003 17:13:07 +0200, "Colzen" <colzen@SLETcolzen.dk>
wrote:

>Men kan det ikke lade sig gøre at åbne siden i et nyt vindue når man trykker
>på log på?

---

"Jens Peter Karlsen" <jpkarlsen@mvps.org> skrev i en meddelelse
news:onnpmv8v522vluprp9nbd92mch1j1kio70@4ax.com...
> Jo, bare brug et normalt pop-up script i stedet for linien med
> location.href.
>
Og hvordan er det lige at sådan et ser ud?

Mvh
Colzen

---

Colzen wrote:

> "Jens Peter Karlsen" <jpkarlsen@mvps.org> skrev i en meddelelse
> news:onnpmv8v522vluprp9nbd92mch1j1kio70@4ax.com...
>
>>Jo, bare brug et normalt pop-up script i stedet for linien med
>>location.href.
>>
> Og hvordan er det lige at sådan et ser ud?

function CheckPassword() {
var username=document.login.username.value;
var password=document.login.password.value;
window.open(username + password+'.htm', 'secret');
}

mvh
Johan

---

> > Og hvordan er det lige at sådan et ser ud?
>
> function CheckPassword() {
> var username=document.login.username.value;
> var password=document.login.password.value;
> window.open(username + password+'.htm', 'secret');
> }
>
Takker mange gange.
En sidste lille ting er så, hvordan sætter man det nye vindue til at være
maksimeret fra start?

Mvh
Colzen

---

Colzen wrote:
>>>Og hvordan er det lige at sådan et ser ud?
>>
>>function CheckPassword() {
>> var username=document.login.username.value;
>> var password=document.login.password.value;
>> window.open(username + password+'.htm', 'secret');
>>}
>>
>
> Takker mange gange.
> En sidste lille ting er så, hvordan sætter man det nye vindue til at være
> maksimeret fra start?

Maximeret? Mener du fullscreen ... eller bare at det fylder det hele..

Well fullscreen:
window.open(username+password+'.htm','secret','fullscreen=yes');

Og "maximeret" er noget ala:
window.open(username+password+'.htm','secret','width='+screen.availWidth+',height='+screen.availHeight+',left=0,top=0');

mvh
Johan

---

> > En sidste lille ting er så, hvordan sætter man det nye vindue til at
være
> > maksimeret fra start?
>
> Maximeret? Mener du fullscreen ... eller bare at det fylder det hele..
>
> Well fullscreen:
> window.open(username+password+'.htm','secret','fullscreen=yes');
>
> Og "maximeret" er noget ala:
>
window.open(username+password+'.htm','secret','width='+screen.availWidth+',h
eight='+screen.availHeight+',left=0,top=0');
>
Dog ikke helt ved nogen af dem.
Jeg mener et maksimeret vindue, ligesom når man trykker på "maksimer"
knappen i den blå linie i toppen.
Således at man stadig beholder alle sine knapper, værktøjslinier osv.

Mvh
Colzen

---

Colzen wrote:

>>>En sidste lille ting er så, hvordan sætter man det nye vindue til at
>
> være
>
>>>maksimeret fra start?
>>
>>Maximeret? Mener du fullscreen ... eller bare at det fylder det hele..
>>
>>Well fullscreen:
>>window.open(username+password+'.htm','secret','fullscreen=yes');
>>
>>Og "maximeret" er noget ala:
>>
>
> window.open(username+password+'.htm','secret','width='+screen.availWidth+',h
> eight='+screen.availHeight+',left=0,top=0');
>
> Dog ikke helt ved nogen af dem.
> Jeg mener et maksimeret vindue, ligesom når man trykker på "maksimer"
> knappen i den blå linie i toppen.
> Således at man stadig beholder alle sine knapper, værktøjslinier osv.

Gør man også på nr. 2....
window.open(username+password+'.htm','secret','width='+screen.availWidth+',height='+screen.availHeight+',left=0,top=0');

hvad sker der da hos dig? Men du kan ikke få den ægte maximeret - kun
lave et forsøg på det ved at ændre størrelsen af vinduet til klients
skærmstørrelse.

mvh
Johan

---

> Gør man også på nr. 2....
>
window.open(username+password+'.htm','secret','width='+screen.availWidth+',h
eight='+screen.availHeight+',left=0,top=0');
>
> hvad sker der da hos dig? Men du kan ikke få den ægte maximeret - kun
> lave et forsøg på det ved at ændre størrelsen af vinduet til klients
> skærmstørrelse.
>
Det gør den ikke hos mig. Jeg har kun den øverste linie med titlen på siden.
Ingen værktøjslinier, adresse linie eller noget, men det er måske noget med
de forskellige browsere? Jeg bruger IE 6.0.2800.1106

Mvh
Colzen

---

Colzen wrote:

>>Gør man også på nr. 2....
>>
>
> window.open(username+password+'.htm','secret','width='+screen.availWidth+',h
> eight='+screen.availHeight+',left=0,top=0');
>
>>hvad sker der da hos dig? Men du kan ikke få den ægte maximeret - kun
>>lave et forsøg på det ved at ændre størrelsen af vinduet til klients
>>skærmstørrelse.
>>
>
> Det gør den ikke hos mig. Jeg har kun den øverste linie med titlen på siden.
> Ingen værktøjslinier, adresse linie eller noget, men det er måske noget med
> de forskellige browsere? Jeg bruger IE 6.0.2800.1106

Aaha prøv:

window.open(username+password+'.htm','secret','location=1,menubar=1,resizable=1,status=1,titlebar=1,toolbar=1,width='+screen.availWidth+',height='+screen.availHeight+',left=0,top=0');

mvh
Johan

---

Bemærk dog, at dette med garanti vil irritere de fleste af dine
besøgende. Folk ved udemærket hvordan de maximerer deres browsere hvis
de finder det nødvendigt. Desuden har jeg endnu ikke set en hjemmeside
der nød godt af at blive vist i fuldskærm med en 1600X1200 opløsning.
Så du risikerer at det går ud over dine besøgstal at bruge et sådant
script.

Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.

On Sun, 21 Sep 2003 14:22:44 +0200, Johan Holst Nielsen
<johan@weknowthewayout.com> wrote:

>
>window.open(username+password+'.htm','secret','location=1,menubar=1,resizable=1,status=1,titlebar=1,toolbar=1,width='+screen.availWidth+',height='+screen.availHeight+',left=0,top=0');

---

"Jens Peter Karlsen" <jpkarlsen@mvps.org> skrev i en meddelelse
news:c5grmvcs0pjgod6u51sut8f4sb53t2h8q8@4ax.com...
> Bemærk dog, at dette med garanti vil irritere de fleste af dine
> besøgende. Folk ved udemærket hvordan de maximerer deres browsere hvis
> de finder det nødvendigt. Desuden har jeg endnu ikke set en hjemmeside
> der nød godt af at blive vist i fuldskærm med en 1600X1200 opløsning.
> Så du risikerer at det går ud over dine besøgstal at bruge et sådant
> script.
>
> Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.
>
Jeg kan godt se hvad du mener og tager det med i mine overvejelser.
Jeg kører dog selv i 1600X1200 og ser alle websider i maksimeret tilstand,
det er jo et spørgsmål om temperament.
Men tak for advarslen.

Mvh
Colzen

---

> Aaha prøv:
>
>
window.open(username+password+'.htm','secret','location=1,menubar=1,resizabl
e=1,status=1,titlebar=1,toolbar=1,width='+screen.availWidth+',height='+scree
n.availHeight+',left=0,top=0');
>

Tak for hjælpen, det var det jeg var på jagt efter.

Mvh
Colzen

---

Colzen wrote in dk.edb.internet.webdesign.html:
>
> Smart og let Mange tak for det.

Du skal bare vide, det ikke er noget som helst værd. Der er intet sikkert i det
script. Men man kan da bruge det som nødløsning, indtil man får et rigtigt et
som kræver PHP eller ASP.

Det er et javascript, så jeg er ikke en gang sikker på at det virker, hvis man
slår javascript fra

Der bliver også nødt til at være ét brugernavn, og ét password, fordi man
taster egentlig bare det bagerste af adressen ind, f. eks. test.php så for mit
vedkommende bliver det så www.webster.1go.dk/test.php

Jeg bruger det selv som nødløsning, men KUN indtil jeg finder et rigtigt et.

Du kan finde scriptet inde på html.dk

Med venlig hilsen Lasse Jensen...



--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Lasse Jensen skrev:

> Du skal bare vide, det ikke er noget som helst værd. Der er
> intet sikkert i det script.

Det er jeg nu ikke så sikker på.


> Det er et javascript, så jeg er ikke en gang sikker på at det
> virker, hvis man slår javascript fra

Det virker kun med javascript slået til. Men det betyder kun at man
ikke kan logge ind uden javascript - *ikke* at man bare
(uberettiget) kan logge ind hvis man slår javascript fra.


> Der bliver også nødt til at være ét brugernavn, og ét
> password, fordi man taster egentlig bare det bagerste af
> adressen ind,

Ja - der kan ikke være to ens brugernavn/adgangskode-kombinationer
(det kan der sådan set aldrig i loginsystemer). Her er der en lille
ekstra ting der skal tjekkes - normalt er det nok at tjekke at et
brugernavn er unikt, men her er det sammensætningen brugernavn +
adgangskode der skal være unik.

Eksempelvis går følgende ikke:

Bruger1:
login: Hans
kode: HansKode

Bruger2:
login: HansHans
kode: Kode


Men i et system baseret på javascript vil brugere skulle oprettes
manuelt - dermed kan den type konflikter nemt undgås.


> Jeg bruger det selv som nødløsning, men KUN indtil jeg finder
> et rigtigt et.

For noget tid siden (1 år eller mere så vidt jeg husker) var der
voldsom debat om sikkerheden ved javascriptlogin. Jeg mener ikke at
der var nogen der kunne påvise reelle problemer med sikkerheden -
forudsat at brugernavn/adgangskode vælges så de ikke er for lette
at gætte sig til.

Man skal sikre sig at beskyttede sider ikke havner på søgemaskiner
- det kan bl.a. betyde at der skal lægges restriktioner på hvor der
må linkes til, fordi referrer-oplysningerne kan benyttes til at
finde de beskyttede sider. Men det er mig bekendt ikke helt ligetil
at gætte sig til et vilkårligt filnavn.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens GyldenkærneClausen wrote in dk.edb.internet.webdesign.html:
> Lasse Jensen skrev:
>
> > Du skal bare vide, det ikke er noget som helst værd. Der er
> > intet sikkert i det script.
>
> Det er jeg nu ikke så sikker på.
>
>
> > Det er et javascript, så jeg er ikke en gang sikker på at det
> > virker, hvis man slår javascript fra
>
> Det virker kun med javascript slået til. Men det betyder kun at man
> ikke kan logge ind uden javascript - *ikke* at man bare
> (uberettiget) kan logge ind hvis man slår javascript fra.
>
>
> > Der bliver også nødt til at være ét brugernavn, og ét
> > password, fordi man taster egentlig bare det bagerste af
> > adressen ind,
>
> Ja - der kan ikke være to ens brugernavn/adgangskode-kombinationer
> (det kan der sådan set aldrig i loginsystemer). Her er der en lille
> ekstra ting der skal tjekkes - normalt er det nok at tjekke at et
> brugernavn er unikt, men her er det sammensætningen brugernavn +
> adgangskode der skal være unik.
>
> Eksempelvis går følgende ikke:
>
> Bruger1:
> login: Hans
> kode: HansKode
>
> Bruger2:
> login: HansHans
> kode: Kode
>
>
> Men i et system baseret på javascript vil brugere skulle oprettes
> manuelt - dermed kan den type konflikter nemt undgås.
>
>
> > Jeg bruger det selv som nødløsning, men KUN indtil jeg finder
> > et rigtigt et.
>
> For noget tid siden (1 år eller mere så vidt jeg husker) var der
> voldsom debat om sikkerheden ved javascriptlogin. Jeg mener ikke at
> der var nogen der kunne påvise reelle problemer med sikkerheden -
> forudsat at brugernavn/adgangskode vælges så de ikke er for lette
> at gætte sig til.

Når man logger ind kan man jo se, hvis man taster f. eks.

Bruger: hans
kode: mikkel

så står der jo i adresse linien, www.et eller andet/hansmikkel.htm

Næste gang man så skal ind på siden, så er det ikke sikkert man gider
at skulle taste oplysningerne ind, så kan man bare gå ind ved at taste
adressen direkte ind.

Men det kan man selvfølgelig ikke, hvis det er aller første gang man
er på siden. Det kræver selvfølgelig, at man kender stien. Men den kan
man måske finde under hyperlinks, hvis man er på en andens computer,
som har været inde på den password beskyttede hjemmeside.

Jeg synes ikke selv, det er 2 kopper vand værd. I et PHP script, der
skjuler den noget af stien, det er jo der er smart.

Med venlig hilsen Lasse Jensen...




--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Lasse Jensen skrev:

[snip - langt citat]

> Når man logger ind kan man jo se, hvis man taster f. eks.
>
> Bruger: hans
> kode: mikkel
>
> så står der jo i adresse linien, www.et eller
> andet/hansmikkel.htm


Ja.

> Næste gang man så skal ind på siden, så er det ikke sikkert
> man gider at skulle taste oplysningerne ind, så kan man bare
> gå ind ved at taste adressen direkte ind.

Også korrekt - men det har ikke noget specielt med sikkerheden at
gøre om man kan logge direkte ind (det er jo også muligt med
cookies i mange større loginsystemer).

Det afgørende er om udenforstående kan se adressen. Det er muligt
hvis de bliver kigget over skulderen eller hvis de bruger en
offentlig computer og ikke sletter sporene efter sig.


> Jeg synes ikke selv, det er 2 kopper vand værd. I et PHP
> script, der skjuler den noget af stien, det er jo der er
> smart.

Det er sådan set underordnet om man kan se stien eller ej. Hvis der
er (ordentlig) serversidebeskyttelse på en side nytter det ikke
noget at kende adressen hvis man ikke også har et brugernavn og en
adgangskode.

Javascriptløsningen giver rigtignok nogle mulige sikerhedsproblemer
ved offentlige computere. Men derfra og til at sige at den ikke er
noget værd er i mine øjne et stort spring. Hvis den bliver brugt
korrekt kan den være særdeles svær at bryde.

Jeg vil til enhver tid foretrække en løsning baseret på
serversideteknologi (asp, php, asp.net eller lignende) når det er
muligt - jeg synes bare ikke det er fair at erklære javascriptlogin
for usikkert baseret på de argumenter der har været fremme indtil
nu.

NB: Kan du lokkes til at klippe lidt i dine citater.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens GyldenkærneClausen wrote in dk.edb.internet.webdesign.html:
>
> NB: Kan du lokkes til at klippe lidt i dine citater.

Ja selvfølgelig. Mine citater plejer også at være så korte som
muligt, men jeg glemte det idag.

Beklager...

Med venlig hilsen Lasse Jensen...

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jens Gyldenkærne Clausen wrote :

> Det afgørende er om udenforstående kan se adressen. Det er muligt
> hvis de bliver kigget over skulderen eller hvis de bruger en
> offentlig computer og ikke sletter sporene efter sig.

Det minder mig om en usability-bug der blev fundet i Yahoos webmail. Hvis
man på daværende tidspunkt loggede ind på webmail, så blev ens brugerid
vist på skærmen. Hvis man samtidig havde fødselsdag, så stod der med store
bogstaver på skærmen "Tillykke med dagen" og lignende. Hvis man så kom
forbi en på biblioteket eller skolen kunne man altså se både fødselsdag
(dags dato) samt brugerid.

.... prøv at gætte hvilken "hemmelig" ting man udover brugerid skulle oplyse
hvis man havde glemt sit password og skulle have det nulstillet?



--
Jesper Stocholm - http://stocholm.dk
Glad Spampal-bruger med 99,1% nøjagtighed for august 2003
http://www.spampal.org - kig efter bayesian filtre.