Just nu i M3-nätverket
Jump to content

Säker inloggning?


Asplund

Recommended Posts

Jag håller på att göra en asp-sida med inloggning åt ett företag. Tanken är att de skriver in login & lösen som vanligt och jämför mot databasen. Stämmer det så tilldelas en sessionvariabel ett id för den användaren. Stämmer variabeln laddas sidan. Är detta ett säkert sätt?

Link to comment
Share on other sites

Hyfsat säkert, nästa variant är ju en NT inloggning.

 

Dvs ta bort IUSR rättigheterna från katalogen du vill skydda och låt dem logga in.

 

Link to comment
Share on other sites

Allt är relativt.

 

Du kan fundera över om lösenorden lagras och skickas i klartext. Denna lösnig är inget för en bank men det ger ett enkelt skydd.

 

 

-------------------------------------------------

Den som är riktigt smart inser att han är riktigt korkad.

 

Link to comment
Share on other sites

Lösenorden måste ju sparas i klartext någonstans...? Vi skickar det i klartext iaf... Kan man ändra värdet av en sessionvariabel typ olovligt. Utan att det står i koden på sidan att värdet ska ändras. Hänger med vad jag menar?

 

 

 

 

Link to comment
Share on other sites

Man behöver sinte ha det i klartext. Du kan kryptera det och sedan skickar du algoritmen du använde för att kryptera med. sedan krypterar clienten det och skickar tillbaka det färdikrypterade lösenordet. detta gämför du med de krypterade lösenordet i din databas.

 

Kan vara lite overkill i ditt fall men du avgör själv. Det är enklare om du kan använda NT konton då sköts detta automatiskt åt dig.

 

Jag är inte säker på vad du menar men ändring av sessionvariabel. Dessa är en typ av cookie och vill du manipulera med dessa så kan du använda en vanlig cookie som du kan sätta till vad du vill.

 

 

-------------------------------------------------

Den som är riktigt smart inser att han är riktigt korkad.

 

[inlägget ändrat 2002-04-05 09:06:07 av Mean]

Link to comment
Share on other sites

Kryptering känns lite onödig i detta fallet.

 

Ang ändring av sessionvariabelvärde menar jag att ett företag som loggar in får en sessionvariabel med det företagets företagsid från databasen. Var gång något hämtas/lagras till databasen hämtas informationen knyten till den sessionvariabeln(företagsid). Om man tex loggar in som företag 5, går det då utan att göra om inloggningsförfarandet ändra variabeln till tex 7 för att komma åt ett annat företags data? Utan att funktion för det finns inplementerad på sidan.

 

Link to comment
Share on other sites

För att göra det så kävs att företag 7 är inloggad. Sedan måste man veta vad det företaget har för sessionid. Därefter så kan de ändra sin egen sessionid så att den stämmer överens med företag 7.

 

Inte så enkelt med andra ord

 

Link to comment
Share on other sites

Ok. Då verkar det som att det bra räcker till vår sida! Det kan röra sig om ett tiotal företag som loggar in max en gång i månaden var, så det bör inte vara så stor sannorlikhet att ett är inloggat när någon försöker "stjäla" sessionid:t.

 

Finns det något annat man bör tänka på?

Krypterad sändning av lösenord ligger utanför vår del av projektet i nuläget iaf.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...