> PHP-scriptet finns nu p� RFA-siten som l�nken: > > http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX > X f�r den som anv�nder GET-metoden och POST funkar oxo om man > tar bort parametrarna men kallas sina variabler f�r 'userid' > resp 'password'. > > Det finns �ven ett script som heter rfacmember.php som kan > anropas med ett krypterat l�senord till l�nken > http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX > XX. Det �r inte MD5 kryftering utan posix "crypt" vilket �r > en n�gon enklare kryptering. > > Borde finnas i Windows systemanrop men jag har inte letat �nnu. > > /Conny Westh >
Jag tittade snabbt om jag kunde f� sp�r p� n�got passande till ASP. Hos http://serverobjects.com finns AspCrypt f�r gratis nedladdning, men det skulle knappast hj�lpa dig d� jag antar att ditt webbhotell inte har den komponenten installerad. Vad �terst�r, k�ra vidare med l�sen i klartext eller implementera "Posix crypt()" i ett ASP-skript :-). Om vi bortser fr�n driftpersonal i de olika inblandade milj�erna s� �r risken med klartext�verf�ring att n�gon avlyssnar trafiken n�gonstans p� v�gen och p� s� s�tt kan tillskansa sig inloggningsuppgifter. Jag f�resl�r byte av variabelnamn till t ex "honung" (userid) och "bidrottning" (password) f�r att f�rsv�ra triggning p� informationen. Naturligtvis skall inte de faktiska variabelnamnen diskuteras p� n�gon lista, det f�r hugade implementerare l�sa sig till p� wikin (vi har v�l https:, eller?). Skall man r�kna in fler risker s� blir min f�rsta anm�rkning att userid/password lagras i serverloggarna om man anv�nder GET-metoden. /tri
<<attachment: winmail.dat>>
