Nu har jag fixat till en exempelsida i ASP (VBScript) som visar p� hur man kan kolla beh�righeten fr�n andra websiter mot RFA-databasen.
K�llkoden �r kanske lite f�r l�ng f�r att sl�nga ut h�r i Forum s� jag l�gger den som en l�nk (ZIPat) p� exempelsidan s� l�nge. Testa h�r http://rfa.rfa.se/cv/login.asp anv�nd ditt vanliga userid och l�senord n�r du loggar in p� RFA-sidan... Detta skript skickar l�senordet OKRYTERAT �ver internet s� du vet det. N�sta steg �r att g�ra en rutin som krypterar det f�rst. Dokumentationen kan �ven l�sas p� WIKI http://wiki.rfa.se/index.php/Autenticering_asp av de som �r intresserade att bidra med n�gon timmes arbete f�r att f�rb�ttra tj�nsterna i RFA. /Conny Westh "Buy quality, cry once" -- Conny Westh, Verimentor AB, 070-752 22 51 [EMAIL PROTECTED], www.verimentor.se Kvalitetsmedvetna IT-konsulter http://www.rfa.se >-----Original Message----- >From: Anders Wallenquist [mailto:[EMAIL PROTECTED] >Sent: Thursday, June 12, 2003 12:53 AM >To: [EMAIL PROTECTED] >Subject: RFA Forum: Re: RFA Forum: SV: RFA Forum: RE: RFA >Forum: SV: RFA >Forum: Hur kolla beh�righet mot RFA-medlemsdatabas i ASP? > > >Tommy Riboe wrote: > >>>PHP-scriptet finns nu p� RFA-siten som l�nken: >>> >>>http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX >>>X f�r den som anv�nder GET-metoden och POST funkar oxo om man >>>tar bort parametrarna men kallas sina variabler f�r 'userid' >>>resp 'password'. >>> >>>Det finns �ven ett script som heter rfacmember.php som kan >>>anropas med ett krypterat l�senord till l�nken >>>http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX >>>XX. Det �r inte MD5 kryftering utan posix "crypt" vilket �r >>>en n�gon enklare kryptering. >>> >>>Borde finnas i Windows systemanrop men jag har inte letat �nnu. >>> >>>/Conny Westh >>> >>> >>> >> >>Jag tittade snabbt om jag kunde f� sp�r p� n�got passande till ASP. >>Hos http://serverobjects.com finns AspCrypt f�r gratis nedladdning, >>men det skulle knappast hj�lpa dig d� jag antar att ditt webbhotell >>inte har den komponenten installerad. Vad �terst�r, k�ra vidare med >>l�sen i klartext eller implementera "Posix crypt()" i ett ASP-skript >>:-). >> >>Om vi bortser fr�n driftpersonal i de olika inblandade milj�erna s� �r >>risken med klartext�verf�ring att n�gon avlyssnar trafiken n�gonstans >>p� v�gen och p� s� s�tt kan tillskansa sig inloggningsuppgifter. Jag >>f�resl�r byte av variabelnamn till t ex "honung" (userid) och >>"bidrottning" (password) f�r att f�rsv�ra triggning p� informationen. >>Naturligtvis skall inte de faktiska variabelnamnen diskuteras p� n�gon >>lista, det f�r hugade implementerare l�sa sig till p� wikin (vi har >>v�l https:, eller?). >> >>Skall man r�kna in fler risker s� blir min f�rsta anm�rkning att >>userid/password lagras i serverloggarna om man anv�nder GET-metoden. >> > >En annan l�sning skulle kunna vara att ASP-programmet och > >rfacmember kommer �verens om att g�ra om userid/password till en >krypterad str�ng som �verf�rs mellan programmen och som >packas/packas upp >med en h�rdkodad hemlig nyckel som bara respektive program >k�nner till. >Kryptering med t ex Blowfish (om den finns p� b�da sidor vill s�ga). > >http://se.php.net/mcrypt >http://www.di-mgt.com.au/cryptoBlowfishASP.html > >Nackdelen med t ex MD5 �r att den env�gskrypterar, det �r inte meningen >att en MD5-str�ng skall g� att "dekryptera" igen. > > >/Anders W > > > >--- >Avs�ndare: http://cv.rfa.se/index.php/[EMAIL PROTECTED] >Sponsor: - Mfg Catalyst - MPS f�r sm� och medelstora f�retag http://www.mfgcatalyst.com --- Avs�ndare: http://cv.rfa.se/index.php/[EMAIL PROTECTED] Sponsor: K�r Krux N�tverksserver, snabbare, s�krare och billigare http://krux.kreawit.se
