Kandu.dk - Sikkerhedsspørgsmål


/ Forside / Teknologi / Internet / Browser / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Browser

#	Navn	Point
1	Klaudi	20366
2	molokyle	12124
3	o.v.n.	8114
4	miritdk	4839
5	stl_s	3840
6	refi	3598
7	dk	2598
8	arlet	2470
9	tedd	2383
10	webnoob	2075

Sikkerhedsspørgsmål
Fra : Ukendt

Dato : 11-08-04 14:13

En webapplikation baseret på asp har et login bestående af brugernavn
og password. Dette bliver valideret op mod en sql-server, som via user
accounts på selve SQL-serveren giver adgang eller ej.

Brugernavn/kodeord sendes ukrypteret. Hvad betyder det for
sikkerheden, såvel praktisk som teoretisk?

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

Anders Lund (11-08-2004)

Kommentar
Fra : Anders Lund

Dato : 11-08-04 14:46

Morten Snedker wrote:
> En webapplikation baseret på asp har et login bestående af brugernavn
> og password. Dette bliver valideret op mod en sql-server, som via user
> accounts på selve SQL-serveren giver adgang eller ej.

Lige et sidespørgemål - validere du de inputs (brugernavn og password)
inden du giver dem til SQL serveren?

> Brugernavn/kodeord sendes ukrypteret. Hvad betyder det for
> sikkerheden, såvel praktisk som teoretisk?

Det der kan ske er at de datapakker som suser rundt på netværket
(herunder Internettet) kan bliver læst af andre. Dette kan gøres med et
"sniffer" program og er ikke særlig svært at gøre.

I praktis har jeg forstået det sådan at man ikke kan sniffer pakkerne på
Internettet. Eller retter, det kan man, men man skal have kontrol over
en af de routere på vejen imellem browseren og webserveren. Dette tror
jeg ikke selv er noget som sker ret ofte.

En anden form for sikkerhed man kan have sammen med krypteringen er
certifikater. Dvs. at man kan stole på at man har forbindelse til den
rette server. Dette er for at fohindre "man-in-the-middel" angreb, hvor
du forbinder dig til hjemmesiden og logger ind. Men hvad du ikke ved er
at hjemmesiden er falsk og du giver login oplysningerne til den falske
side, som så kontakter den rigtige side og på den måde finder du ikke ud
af at du har givet login oplysningerne til den forkerte.

At man bruger certifikater sammen med kryptering er en vigtig ting, for
hvis man ikke kan stole på at man har fat i den rigtige server, kan det
være lige meget med kryptering.

Jeg har dog ingen (eller blot ringe) erfaring med kryptering og
certifikater, så jeg kan ikke tale med om løsninger eller sige at
tingene er 100% som jeg lige har skrevet det. Men nu har du noget at
tænke over. :)

--
Anders Lund - anders@andersonline.dk

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408847
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste