Just nu i M3-nätverket
Gå till innehåll

Säker inloggning


virgoz

Rekommendera Poster

Har lite problem med att få ihop en säker inloggning. Själva inloggningsfuktionen är avklarad, men den är verkligen inte så säker som jag vill ha den. Använder mig utav sessions. Någon kompetent person som skulle vilja hjälpa mig!?

Länk till kommentar
Dela på andra webbplatser

Thomas Tydal har tidigare skrivit om detta ämne i följande tråd:

 

//eforum.idg.se/viewmsg.asp?entriesid=288981

 

Trevlig läsning!

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

Länk till kommentar
Dela på andra webbplatser

Jag skulle vilja tipsa om följande utmärkta inlägg av Thomas Tydal:

//eforum.idg.se/viewmsg.asp?EntriesId=288981

 

Tillägg: Almir hann visst före :)

 

mvh,

query

_________________________________________________________

Things should be made as simple as possible, but not any simpler.

- Albert Einstein

 

 

[inlägget ändrat 2002-11-25 13:16:23 av query]

Länk till kommentar
Dela på andra webbplatser

Tillägg: Almir hann visst före :)
Några sekunder före blev det visst... ;)

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

Länk till kommentar
Dela på andra webbplatser

Det där inlägget borde bevaras för eftervärlden på bästa möjliga sätt, maken till mer pedagogiskt inlägg har jag inte läst =)

 

Länk till kommentar
Dela på andra webbplatser

Hmmm, det där inlägget har jag missat.

Har han skrivit hur man gör i ASP/VBscript också ?

Finns motsvarande funktioner även där ?

 

/TN

 

Länk till kommentar
Dela på andra webbplatser

Men snälla, tror ni inte att jag redan läst det? Har till och med redan direktkontakt med personen i fråga! :) Tänkte bara ifall det fanns någon annan påläst person i detta forum...?

 

Länk till kommentar
Dela på andra webbplatser

Men snälla, tror ni inte att jag redan läst det?
Inte vet vi vad du har läst. :P Man brukar hänvisa till redan skrivna inlägg, om de är bra, istället för att behöva skriva om samma sak själv.

 

Har till och med redan direktkontakt med personen i fråga! :) Tänkte bara ifall det fanns någon annan påläst person i detta forum...?
Så, vad vill du ha hjälp med då?

 

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

Länk till kommentar
Dela på andra webbplatser

nästan samma fråga, nästan samtidigt Anders :-)..

 

Vi kastar oss över denna som utsvultna tigrar...

Samma här. :))

 

Med andra ord, så har vi alldeles för lite att göra just nu.

 

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

Länk till kommentar
Dela på andra webbplatser

Ehm, vill få det att fungera säkert med andra ord. Det ska inte fungera att "gå bakåt" efter att man loggat ut och sådär... Helst ska man inte kunna gå bakåt över huvud taget. Och det ska inte kunna gå att trycka uppdatera för att få fram sidan igen...

 

Länk till kommentar
Dela på andra webbplatser

Tyvärr så går det inte att göra helt säkert på det sättet du vill, eftersom den säkerheten ligger hos klienten, och dennes webbläsare.

 

Med andra ord, en illvillig användare kan skriva en egen webbläsare, eller ett program som övervakar cachen och på så sätt kapa en session.

Det är bättre att lägga all säkerhet på serversidan.

 

Men, det är ju klart, att försöka använda så många åtgärder som möjligt för att försvåra intrång är ju bra.

 

För att undvika att användaren kan klicka på Bakåt-knappen, kan du göra länkar som denna istället (med JavaScript):

<a href="#" onclick="self.location.replace('sida.php')">Länk</a>

 

För att försöka hindra webbläsaren att spara sidan i cachen kan du använda dig av följande:

<?php
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");    /* Date in the past */
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); /* always modified */
header("Cache-Control: no-store, no-cache, must-revalidate"); /* HTTP/1.1 */
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache"); /* HTTP/1.0 */
?>

(Taget från http://www.php.net/manual/en/function.header.php, där du kan läsa mer, och se användares förslag längst ned på sidan.)

 

Om jag vill att en sida bara ska kunna visas en gång brukar jag använda mig av en cache på serversidan, där jag genererar sidan, sparar den i en databas, ger klienten en nyckel, som denna kan använda för att komma åt sidan. När sedan sidan har använts en gång, tas den bort ur databasen och nyckeln blir därmed ogiltig.

 

Kombinera detta med Tydals exempel ovan, med md5-värden, samt kanske även med klientens IP-nummer ($_SERVER["REMOTE_ADDR"]).

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...