>Vid n�rmare eftertanke r�cker det att undvika vidaref�rmedling >av inloggningsuppgifter med s�mre s�kerhet �n som anv�nds >mellan webbl�saren och "klientsajten". > >Jag ser tv� krav man beh�ver st�lla p� "medlemsbejakaren.php": > >1) Inte till�ta "bruteforce"-attacker dvs upprepade f�rs�k i >avsikt att gissa l�senordet. Ex. utel�sning p� tid vid >upprepade negativa svar. > >2) F�rhindra "spoofing". En mekanism f�r att bekr�fta >identiteten s� att "klientsajten" vet s�kert att den f�r >svaret fr�n rfa.se. > >Krav 2) kanske f�r anses vara att skjuta lite �ver m�let f�r >aktuellt anv�ndningsomr�de, eller? > >/tri
Det funkar inte alls just nu, s� n�gra atacker finns ingen risk f�r. Fr�gan �r hur man ska g�ra f�r att f� en enkel kontroll att fungera utan att ha ODBC f�r mySQL p� den anropande servern. Om jag har ODBC p� min egen server s� �r det bara att koppla upp sig med ett vanligt SQL-anrop och fr�ga om det finns precis som jag har b�rjat koda men det �r helt fel v�g d� man m�ste ha viss programvara installerad p� "klientservern" f�r att det hela ska funka. P� mitt webbhotell har jag inte tillg�ng till ODBC mot mySQL (de vill ha hutl�st betalt f�r det), bara tillg�ng till userid och password i klartext (anv�ndaren loggar in med det i min applikation), jag vill skicka iv�g det till RFA-servern och fr�ga om personen �r beh�rig eller inte TRUE/FALSE r�cker som svar. /Conny Westh "Buy quality, cry once" -- Conny Westh, Verimentor AB, 070-752 22 51 [EMAIL PROTECTED], www.verimentor.se Kvalitetsmedvetna IT-konsulter http://www.rfa.se
<<attachment: winmail.dat>>
