Lösenordssidor

Vanasarn · Post by **Vanasarn** » 2003-04-11 14:29:42

Tjaba!

Skulle vilja veta om jag kan göra hemsidor som kräver lösenord i Frontpage 2000? Det går bra om jag får en htmlkod också.

Ha det bra

Niklas Berggren · Post by **Niklas Berggren** » 2003-04-11 15:05:36

Att lösenordsskydda något i html/js är verkligen ingen god idé, kör du en egen webserver så använd PHP eller ASP.

Javascript som "lösenordsskyddar" går lätt att googla fram, men jag rekommenderar det inte

stealth · Post by **stealth** » 2003-04-11 15:32:18

lätt att bruteforca eftersom det finns 0 kryptering etc.

Branstrom · Post by **Branstrom** » 2003-04-11 16:32:46

Ett enkelt skydd är ju att göra en textruta där man skriver in ett filnamn bara. Som fungerar som lösenord, dvs "minsida2483.htm".. förutsatt att man inte kan lista filerna på servern via http.. men jag vet inte, det finns nog brister i den teorin också. (?)

thr · Post by **thr** » 2003-04-11 17:07:47

det bästa är en mysqldatabas och php.

Niklas Berggren · Post by **Niklas Berggren** » 2003-04-11 17:29:51

thr wrote:det bästa är en mysqldatabas och php.

MySQL gör det inte mycket bättre ur säkerhetssynpunkt precis...
PHP och md5() räcker gott.

thr · Post by **thr** » 2003-04-11 17:35:50

Nicke. wrote:
thr wrote:det bästa är en mysqldatabas och php.
MySQL gör det inte mycket bättre ur säkerhetssynpunkt precis...
PHP och md5() räcker gott.

Jo, eftersom du behöver ett pass för att komam åt mysql datbasen oxo :)
och det kan skicka som md5 värde och tolkas som md5värde av mysql, så det aldrig behöver så i klartext vid mysql_connect();

sen så kan man spara lösenordens md5 värde då.

lither · Post by **lither** » 2003-04-11 17:36:45

Som de flesta säger så är js en väldigt dålig idé när det gäller säkertheten. Om det inte finns någon PHP på den servern du har/använder (+ att det inte finns möjlighet att skaffa) så är det här det bästa jag kan komma med:

1. Kom på ett nick.

2. Kom på ett pass.

3. Skapa en sida med nicket och passet. T.ex. nicket är 'lither' och passet är 'poohead' så blir namnet på sidan 'litherpoohead.html'

4. Fixa detta js-script:

Inom <HEAD>-taggarna:

Code: Select all

<SCRIPT LANGUAGE="javascript">

filandelse="html"

function password()
{
if ((document.pass.word.value != "") && (document.pass.namn.value != ""))
{
sida=document.pass.namn.value+document.pass.word.value+"."+filandelse
self.location=sida.toLowerCase()
document.pass.word.value=("");
}
}
//-->
</SCRIPT>

Innanför <BODY>-taggarna:

Code: Select all

<FORM METHOD="post" NAME="pass" ACTION="javascript:password();">
<B>Användarnamn:</B><BR><INPUT TYPE="text" NAME="namn" size="20"><BR>
<B>Kod:</B><BR><INPUT TYPE="password" NAME="word" size="20"><BR>
<INPUT TYPE="button" NAME="knapp" VALUE="Logga in" size="20" onClick="password();">
</FORM>

Oni · Post by **Oni** » 2003-04-11 18:32:40

HTML password är ju ett kanske inte bombsäkert med åtminstone enkelt sätt att skydda ett dokument..

http://www.minihttpserver.net/home/

mr b0m · Post by **mr b0m** » 2003-04-12 1:14:34

En .htaccess kanske skulle passa för ändamålet?

Vanasarn · Post by **Vanasarn** » 2003-04-12 15:53:07

Du lither, jag lyckades inte. Jag har nog gjort fel.

Hur ska jag skriva i HTML för att min sidan "members.htm", ska ha ett fält där man skriver in lösenordet och därmed komma till members2.htm?
members2.htm skall vara skyddad.

När jag lyckats med att skydda members2.htm kan jag då som vanligt bara länka vidare till de andra sidorna som ska vara skyddade?

beskriv exremt grundligt är du snäll, är grymt novice på detta.[/quote]

lither · Post by **lither** » 2003-04-12 16:18:26

vanasarn wrote:Du lither, jag lyckades inte. Jag har nog gjort fel.

Hur ska jag skriva i HTML för att min sidan "members.htm", ska ha ett fält där man skriver in lösenordet och därmed komma till members2.htm?
members2.htm skall vara skyddad.

När jag lyckats med att skydda members2.htm kan jag då som vanligt bara länka vidare till de andra sidorna som ska vara skyddade?

beskriv exremt grundligt är du snäll, är grymt novice på detta.

Förstår inte varför du avslutade det hela med en quote-tag, men det är sak samma..

Om en av dina "members" heter urbis och har passet 8564 så ska du skapa en sida som heter urbis8564.html där han har "sitt". Om du ska skydda en sida som slutar med ändelsen .htm så får du ändra det i 'filandelse="html"' till 'filandelse="htm"' istället..

Vanasarn · Post by **Vanasarn** » 2003-05-07 15:05:16

mr b0m wrote:En .htaccess kanske skulle passa för ändamålet?

Det kan fungera utmärkt har jag fått höra! Hur ska jag göra?

Vet att man ska skappa en mapp med en htaccess fil i. I access skriver man användarnamn och lösenord, men hur?

Niklas Berggren · Post by **Niklas Berggren** » 2003-05-07 17:20:21

Första träffen på google; Htacces-howto, ha så kul.

Vanasarn · Post by **Vanasarn** » 2003-05-14 15:15:41

Hmm hajar typ nada av det där...

I vilket program ska jag skriva allt i? Är det anteckningar och därefter sparas som .htaccess?

Hur ska jag sedan skriva?

Peter Wall · Post by **Peter Wall** » 2003-05-14 16:46:25

Där du lägger upp ditt material finns en webserver, förhoppningsvis en med apache.. Denna ska du confa enligt how-to'n. Ska du lägga upp saker med såpass viktiga grejer på, så de krävs lösenord, så kanske det är lönt att du tar reda på sådana viktiga saker först..? Det är rätt vitalt imho att säkerheten i övrigt är god.

jiggan · Post by **jiggan** » 2003-06-24 1:48:22

gör en sida med två formulär där du har ett formulär döpt till user och ett till losen, sen gör du en kontroll sida i .php...

<?php
$user = 'jiggan';
$losen = 'äger';
if ($user == 'jiggan' && $losen == 'äger') {
echo 'JADÅ!'; }
else { header("Location: default.php"); }
?>

fisk · Post by **fisk** » 2003-06-24 5:27:49

stealth wrote:lätt att bruteforca eftersom det finns 0 kryptering etc.

Lätt och bruteforce. Borde inte stå i samma mening. Bruteforce, är per definition den slutgiltiga metod som alltid fungerar, oavsett kryptering eller inte.

Bruteforce är metoden att genom antingen en algoritm för att prova alla bokstavskombinationer mot ett lösenordsskydd tills man hittar en korrekt nyckel. Alt. kan man använda en uppsamling ord ur t.ex. en ordbok för att ev. förenkla proceduren.

Du kan fortfarande bruteforcea en ssh, likaväl som du kan bruteforcea en okrypterad telnet. Däremot blir det omöjligt utan korrekt nyckel att sniffa/snoopa kopplingen; eftersom nyckeln är lösningen på kommunikationen.

Som alltid är bruteforce den klumpigaste och absolut långsammaste metoden, eftersom det kräver en enorm datorkraft att bepröva ett lösenord på 8 bokstäver.

a
b
c
.
.

aa
ab
ac
.
.
aaa
aab
aac
.
.
aaaa
aaab
aaac
aaad
.
.
.

fisk · Post by **fisk** » 2003-06-24 5:34:20

thr wrote:Jo, eftersom du behöver ett pass för att komam åt mysql datbasen oxo
och det kan skicka som md5 värde och tolkas som md5värde av mysql, så det aldrig behöver så i klartext vid mysql_connect();

sen så kan man spara lösenordens md5 värde då.

Det finns exploits för sådant thr. Så länge det finns möjlighet för servern, eller koden att anropa MySQL direkt, så kan du exploita det. Det kanske inte är kunskap som 'Nisse' har, men det finns definitivt vägar att gå.

thr · Post by **thr** » 2003-06-24 9:50:53

fisk wrote:
thr wrote:Jo, eftersom du behöver ett pass för att komam åt mysql datbasen oxo
och det kan skicka som md5 värde och tolkas som md5värde av mysql, så det aldrig behöver så i klartext vid mysql_connect();

sen så kan man spara lösenordens md5 värde då.
Det finns exploits för sådant thr. Så länge det finns möjlighet för servern, eller koden att anropa MySQL direkt, så kan du exploita det. Det kanske inte är kunskap som 'Nisse' har, men det finns definitivt vägar att gå.

Såklart är finns det expolits, har heller inte påstått att det är säkert. Men det är ett hyffsat lätt sätt att gå till väga som fungerar tillfredställande bra.

lither · Post by **lither** » 2003-06-24 11:39:21

jiggan wrote:gör en sida med två formulär där du har ett formulär döpt till user och ett till losen, sen gör du en kontroll sida i .php...

<?php
$user = 'jiggan';
$losen = 'äger';
if ($user == 'jiggan' && $losen == 'äger') {
echo 'JADÅ!'; }
else { header("Location: default.php"); }
?>

Vad jag har fattat på trådskaparen så har inte han PHP på sin server, om den ens är hans.

thr · Post by **thr** » 2003-06-24 12:07:39

jiggan wrote:gör en sida med två formulär där du har ett formulär döpt till user och ett till losen, sen gör du en kontroll sida i .php...

<?php
$user = 'jiggan';
$losen = 'äger';
if ($user == 'jiggan' && $losen == 'äger') {
echo 'JADÅ!'; }
else { header("Location: default.php"); }
?>

fö. skulle inte det dära funka

Vanasarn · Post by **Vanasarn** » 2003-07-06 16:14:53

lither wrote:
jiggan wrote:gör en sida med två formulär där du har ett formulär döpt till user och ett till losen, sen gör du en kontroll sida i .php...

<?php
$user = 'jiggan';
$losen = 'äger';
if ($user == 'jiggan' && $losen == 'äger') {
echo 'JADÅ!'; }
else { header("Location: default.php"); }
?>
Vad jag har fattat på trådskaparen så har inte han PHP på sin server, om den ens är hans.

Jag tror inte jag har PHP, har för mig att jag har kollat. Kan inte någon vara snäll, eftersom jag inte kan, och skapa en fil erller två åt mig.

Allt jag "kräver" är att jag kan länka till fält sidan och sedan kan "gömma" filer bakom lösenordet.
(Det ända jag kan anmärka på när det gäller layouten är att det ska vara svart bakgrund och blå text. )