PHP-scriptet finns nu p� RFA-siten som l�nken:
http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX
X f�r den som anv�nder GET-metoden och POST funkar oxo om man tar bort parametrarna men kallas sina variabler f�r 'userid' resp 'password'.
Det finns �ven ett script som heter rfacmember.php som kan anropas med ett krypterat l�senord till l�nken http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX
XX. Det �r inte MD5 kryftering utan posix "crypt" vilket �r en n�gon enklare kryptering.
Borde finnas i Windows systemanrop men jag har inte letat �nnu.
/Conny Westh
Jag tittade snabbt om jag kunde f� sp�r p� n�got passande till ASP. Hos http://serverobjects.com finns AspCrypt f�r gratis nedladdning, men det skulle knappast hj�lpa dig d� jag antar att ditt webbhotell inte har den komponenten installerad. Vad �terst�r, k�ra vidare med l�sen i klartext eller implementera "Posix crypt()" i ett ASP-skript :-).
Om vi bortser fr�n driftpersonal i de olika inblandade milj�erna s� �r risken med klartext�verf�ring att n�gon avlyssnar trafiken n�gonstans p� v�gen och p� s� s�tt kan tillskansa sig inloggningsuppgifter. Jag f�resl�r byte av variabelnamn till t ex "honung" (userid) och "bidrottning" (password) f�r att f�rsv�ra triggning p� informationen. Naturligtvis skall inte de faktiska variabelnamnen diskuteras p� n�gon lista, det f�r hugade implementerare l�sa sig till p� wikin (vi har v�l https:, eller?).
Skall man r�kna in fler risker s� blir min f�rsta anm�rkning att userid/password lagras i serverloggarna om man anv�nder GET-metoden.
En annan l�sning skulle kunna vara att ASP-programmet och
rfacmember kommer �verens om att g�ra om userid/password till en
krypterad str�ng som �verf�rs mellan programmen och som packas/packas upp
med en h�rdkodad hemlig nyckel som bara respektive program k�nner till. Kryptering med t ex Blowfish (om den finns p� b�da sidor vill s�ga).
http://se.php.net/mcrypt http://www.di-mgt.com.au/cryptoBlowfishASP.html
Nackdelen med t ex MD5 �r att den env�gskrypterar, det �r inte meningen att en MD5-str�ng skall g� att "dekryptera" igen.
/Anders W
---
Avs�ndare: http://cv.rfa.se/index.php/[EMAIL PROTECTED]
Sponsor: - Mfg Catalyst - MPS f�r sm� och medelstora f�retag http://www.mfgcatalyst.com
