Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Säkerhet i inloggingsskydd

Bjarne

Startad av Bjarne,
i Webbutveckling

Rekommendera Poster

Bjarne

Bjarne

Postad
Postad

Min fråga knyter an till tidigare tråd om "lösenordskydda flera sidor".

 

Min fråga är som säkerheten i detta typ av lösenordsskydd.

 

Vad finns det för brister? Några jag kan komma på är:

 

* om man använder en access-db och kommer åt att ladda ner den så kommer man åt lösenorden

* Mänskliga faktorn t. ex felkodning. Eller att man använder gränssnitten på en allmändator och inte loggar ur.

 

Det finns väl fler antar jag?

Länk till kommentar
Dela på andra webbplatser
Jimmie Pettersson

Jimmie Pettersson

Postad
Postad

Finns ju risker att någon knäcker lösenordet på konventionellt sätt också. Risker finns alltid där, det gäller bara att minimera dem. Man kan ju koda lösenordet på nått sätt också. Jag har dock ingen kunskap om detta.

 

"Eller att man använder gränssnitten på en allmändator och inte loggar ur."

-Man kan ju använda en timeout eller nått så att personen loggas ut automatiskt efter x antal minuter eller att den måste skriva in lösenordet igen om det har stannat för länge på en sida. På så sätt kan man minska riskerna.

 

MVH Jimmie Pettersson

 

**************************************

Att fråga riktigt är att veta mycket

 

Arabiskt ordspråk

 

Länk till kommentar
Dela på andra webbplatser
Bjarne

Bjarne

Postad
  • Trådskapare
Postad

Jo, brukar numera kryptera lösenorden, vilket iaf gör det svårare om nu nån skulle ladda ner databasen.

 

Sen finns det ju alltid en timeout på sessionsvariabler, normalt 20 minuter. Men oavsett detta finns det alltid en viss risk att någon skulle kunna komma åt administrationen innan timeouten slått igenom.

 

Men vi glömmer det.. det som är intressant är om det finns några andra risker?

 

Länk till kommentar
Dela på andra webbplatser
bassman

bassman

Postad
Postad

Jag har ett skräckexempel på bristande säkerhet:

Det fanns för ca 1,5 år sen en sida (vi låter dom vara anonyma) där man gratis kunde skapa sina egna sidor dynamiskt. Det fanns även en funktion för att ladda upp egna sidor. Det fanns inget hinder för att ladda upp asp-sidor så jag testade med att ladda upp en sida och exekvera den: no problemo!

Sen laddade jag upp en sida som listade alla filer och kataloger och skrev ut innehållet om man klickade på dem.

Inte nog med att jag kunde läsa mina egna filer - alla diskar var vidöppna, jag kunde läsa allt på C:, D: och E: - diskarna!

En snabb titt i deras global.asa gav mig access till deras SQL-server där jag kunde läsa precis allt.

Det gick till och med att läsa och skriva till registret.

Jag läste inte mycket i deras db eller filer - konstaterade bara att det gick. Än en gång blev jag dock påmind om hur många som glömmer bort att sätta rättigheter korrekt både på webservrar och databaser...

 

Länk till kommentar
Dela på andra webbplatser
Kalinka

Kalinka

Postad
Postad

1. Ligger du på webbhotell kan du ju stoppa in Access DB'n i sys katalogen, eller om du har egen server i en katalog annan än wwwroot. då är det inte så lätt att tanka hem den.

 

Viktigt är dock att lösenordet krypteras; annars kan ju nån bara sniffa upp det.

 

Länk till kommentar
Dela på andra webbplatser
Weyland

Weyland

Postad
Postad

Hur är det med asp-buggen för databaser? Jag använder den alltid som ett extra steg för att hindra nedladdning av accessdatabaser. Dvs döper databasen till .asp - någon som har några kommentarer om denna 'bugg'? :)

 

.wey

 

Länk till kommentar
Dela på andra webbplatser
Jimmie Pettersson

Jimmie Pettersson

Postad
Postad

Smart ide! Det ska jag ta och använda när jag använder ACCESSdatabaser. En liten följdfråga. Kan man kryptera innehållet i en cookiefil? Isåfall hur?

 

MVH Jimmie Pettersson

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...