Just nu i M3-nätverket
Jump to content

Säkerhet i inloggingsskydd


Bjarne

Recommended Posts

Min fråga knyter an till tidigare tråd om "lösenordskydda flera sidor".

 

Min fråga är som säkerheten i detta typ av lösenordsskydd.

 

Vad finns det för brister? Några jag kan komma på är:

 

* om man använder en access-db och kommer åt att ladda ner den så kommer man åt lösenorden

* Mänskliga faktorn t. ex felkodning. Eller att man använder gränssnitten på en allmändator och inte loggar ur.

 

Det finns väl fler antar jag?

Link to comment
Share on other sites

Jimmie Pettersson

Finns ju risker att någon knäcker lösenordet på konventionellt sätt också. Risker finns alltid där, det gäller bara att minimera dem. Man kan ju koda lösenordet på nått sätt också. Jag har dock ingen kunskap om detta.

 

"Eller att man använder gränssnitten på en allmändator och inte loggar ur."

-Man kan ju använda en timeout eller nått så att personen loggas ut automatiskt efter x antal minuter eller att den måste skriva in lösenordet igen om det har stannat för länge på en sida. På så sätt kan man minska riskerna.

 

MVH Jimmie Pettersson

 

**************************************

Att fråga riktigt är att veta mycket

 

Arabiskt ordspråk

 

Link to comment
Share on other sites

Jo, brukar numera kryptera lösenorden, vilket iaf gör det svårare om nu nån skulle ladda ner databasen.

 

Sen finns det ju alltid en timeout på sessionsvariabler, normalt 20 minuter. Men oavsett detta finns det alltid en viss risk att någon skulle kunna komma åt administrationen innan timeouten slått igenom.

 

Men vi glömmer det.. det som är intressant är om det finns några andra risker?

 

Link to comment
Share on other sites

Jag har ett skräckexempel på bristande säkerhet:

Det fanns för ca 1,5 år sen en sida (vi låter dom vara anonyma) där man gratis kunde skapa sina egna sidor dynamiskt. Det fanns även en funktion för att ladda upp egna sidor. Det fanns inget hinder för att ladda upp asp-sidor så jag testade med att ladda upp en sida och exekvera den: no problemo!

Sen laddade jag upp en sida som listade alla filer och kataloger och skrev ut innehållet om man klickade på dem.

Inte nog med att jag kunde läsa mina egna filer - alla diskar var vidöppna, jag kunde läsa allt på C:, D: och E: - diskarna!

En snabb titt i deras global.asa gav mig access till deras SQL-server där jag kunde läsa precis allt.

Det gick till och med att läsa och skriva till registret.

Jag läste inte mycket i deras db eller filer - konstaterade bara att det gick. Än en gång blev jag dock påmind om hur många som glömmer bort att sätta rättigheter korrekt både på webservrar och databaser...

 

Link to comment
Share on other sites

1. Ligger du på webbhotell kan du ju stoppa in Access DB'n i sys katalogen, eller om du har egen server i en katalog annan än wwwroot. då är det inte så lätt att tanka hem den.

 

Viktigt är dock att lösenordet krypteras; annars kan ju nån bara sniffa upp det.

 

Link to comment
Share on other sites

Hur är det med asp-buggen för databaser? Jag använder den alltid som ett extra steg för att hindra nedladdning av accessdatabaser. Dvs döper databasen till .asp - någon som har några kommentarer om denna 'bugg'? :)

 

.wey

 

Link to comment
Share on other sites

Jimmie Pettersson

Smart ide! Det ska jag ta och använda när jag använder ACCESSdatabaser. En liten följdfråga. Kan man kryptera innehållet i en cookiefil? Isåfall hur?

 

MVH Jimmie Pettersson

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...