jopa skrev:
> Firkantet vil jeg mene at det er mere sikkert at have sine
> penge i en Bankboks.
Bestemt - men det er lidt upraktisk hvis man skal i bankboksen hver
gang man vil købe en is. Pointe: afstem sikkerhedsniveauet med
værdien af det der skal beskyttes.
> Ligeledes skulle det være mere sikkert at afvikle et login
> serverside i stedet for hos clienten.
Der er en forskel, men den er ikke stor hvis brugerne af et
javascriptlogin forstår at håndtere det korrekt.
> Kan man gætte sig til navnet på js filen kan den vel hentes
Jo, men præcis det samme gælder jo for et serverbaseret login. Kan
man gætte brugernavn og adgangskode kan man komme ind uanset om
loginproceduren sker på serversiden eller på klientsiden.
Uanset valget af loginhåndtering, skal man sikre sig at brugernavn
og adgangskode ikke er til at gætte direkte. Javascriptmetoden har
rigeligt med kombinationsmuligheder, så hvis man ikke tillader for
korte kombinationer, er det bestemt ikke lige til at gætte
filnavnet.
Det man ikke kan med javascriptbaserede loginløsninger, er at sikre
mod at adressen opsnappes fra browserens cache eller historik -
hvorefter der vil være fri adgang til siden. Det samme gælder hvis
der er links fra den beskyttede side til andre sider, der måske
opsnapper referer-informationen eller hvis man finder på at linke
til siden fra en offentlig side (så Google finder den).
Ingen loginløsning er sikrere end de brugere der benytter den. Hvis
en bruger har adgangskode og brugernavn stående på en lap papir ved
skærmen, hjælper det ikke meget at der er 117 avancerede systemer
der sikrer serveren. Som nævnt ovenfor er der lidt flere faldgruber
for brugerne af et javascriptbaseret system, men ikke flere end at
jeg stadig vil betegne det som en sikker mulighed. Hvis man har
særligt følsomme oplysninger gemt bag sit login, er javascript-
metoden måske ikke det første valg, men til en enkelt
kodeordsbeskyttelse af sider, kan javascript fint benyttes.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på
http://usenet.dk/netikette/citatteknik.html