Gå til innhold

Beskytte Siden Din!

Thomas.

Av Thomas.
i IKT-drift og sikkerhet

Anbefalte innlegg

Thomas.

Thomas.

Skrevet
Skrevet

Har laget en kode så du kan passord-beskytte siden din! :dribble:

 

 

 

 

 

Her er koden: :thumbup:

 

<?php

// Laget av support-u.110mb.com
// Du kan gjøre hva du vil med scriptet =)









// Under her så sett passord og brukernavn: [Endre "bruker her" til brukernavnet ditt. og endre 'passher' med ditt passord du vil ha!]
$username = "bruker her";
$password = "passher";

if ($_POST['txt1'] != $username || $_POST['txt2'] != $password) {

?>
<style type="text/css">
body {
  width:550px;
  height:auto;
  margin:20px auto 20px auto;
  background:#ffffff;
  font-family:verdana,arial,sans-serif;
  font-size:12px;
}
.textfield {
  border:1px solid #003090;
  background:#ffffcc;
  width:200px;
}
</style>
<table width="400" border="0" align="center" cellpadding="3" cellspacing="0">
<tr>
<td><strong>Test Sign Guestbook </strong></td>
</tr>
</table>
<table width="400" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="logginn" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<td>
<table width="400" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td width="117">Brukernavn</td>
<td width="14">:</td>
<td width="357"><input type="text" title="Skriv inn brukernavn" name="txt1" class="textfield"></td>
</tr>
<tr>
<td>Passord</td>
<td>:</td>
<td><input type="text" title="Skriv inn passordet" name="txt2" class="textfield"></td>
</tr><tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value=" Submit "> <input type="reset" name="Submit2" value=" Avbryt " /></td>
</tr>
</table>
</td>
</form>
</tr>
</table>
<?php
}
else {
?>
<p><h1>Her skal du ha alt av siden osv....</h1></p>

<?php
}
?>

 

 

 

 

 

Gjerne gi en liten kommentar :love:

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
kpolberg

kpolberg

Skrevet
Skrevet (endret)

men man ser jo alikevel at du har passord delen som txt2, og kan derfor anta at passordfilen er txt2.txt eller liknende. Så jeg tror nok jeg holder meg til .htaccess / .htpasswd foreløpig.

 

Min feil, leste ikke gjennom, men fremdeles. Altfor usikkert.Og altfor begrenset område man kan bruke det til.

Endret av kpolberg
Lenke til kommentar
loathsome

loathsome

Skrevet
Skrevet (endret)

For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Endret av loathsome
Lenke til kommentar
SimDaDim

SimDaDim

Skrevet
Skrevet

Var et fint script det "php_user". Det du bruker der der faktisk basicen i php, og hvordan man lager et brukersystem i php.

 

Du kan jo f.eks prøve å utvide det litte gran :) Hvis du leser litt om det som kalles sessions så kan du lage større nettsider som er passordbeskyttet. Du burte også lese litt om hash av passord, og jeg tenker da på md5 og sha1.

 

Vidre til dere som sier at ting er så usikkert, hva med å fortelle hva som er usikkert?

Lenke til kommentar
  • 4 uker senere...
Ernie

Ernie

Skrevet
Skrevet (endret)
For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Kjære vene! Vær så snill og ikke villed folk! Det du påstår er rimelig heftig på bærtur. Bruker du Apaches og HTTP-protokollens innebygde mekanismer har man blant annet automatisk «challange response»-system, noe jeg til nå aldri har sett i et PHP-script uten at det er introdusert nye sikkerhetsproblemer. HTTP-auth er mer enn basic authentication hvor ting foregår i plaintext. Det er faktisk noe som heter digest også ... Kort og godt: Gjort riktig (dvs. ved bruk av digest) kan jeg overhode ikke se at det introduserer nye sikkerhetsproblemer. Eneste problemet med HTTP-auth er logout, men det får du uannsett og i motsettning til det du kan med PHP etterlater du deg ikke en «session» når bruker lukker nettleseren. I motsettning til scriptet skissert i tråden her fungerer forøvrig HTTP m/digest-metoden uten SSL også. Det klarer du ikke engang med PHP. Hvis du er uenig så er det meget velkommen til å dokumentere at HTTP digest er utrygt.

Endret av Ernie
Lenke til kommentar
Anders Moen

Anders Moen

Skrevet
Skrevet

Den her skulle vel kanskje vært i PHP-forumet?

Og så kanskje en liten tur innom PHP-kode som andre kanskje kan bruke eller hva nå enn den tråden heter?

 

Og til dere som tror at man kan lese passordet i fra kildekoden: lol

 

Hvis dere har en server hvor dere kan bruke PHP, lag en fil, f. eks test.php og tast inn dette:

<?php
$brukernavn = "brukernavn";
$passord = "passord";
echo 'Velkommen, ' . $brukernavn . '. Ditt passord hasha med md5 er: ' . md5($passord);
?>

Hva tror du hadde vist seg i kildekoden?

Dette:

"Velkommen, brukernavn. Ditt passord hasha med md5 er _32_bokstaver_og_tall_om_jeg_ikke_husker_feil"

 

Så man hadde ikke sett passordet selv om det er skrevet med klartekst slik, hvis ingen hadde skrevet

echo $passord;

uten noen hashing eller kryptering rundt

 

:)

Lenke til kommentar
loathsome

loathsome

Skrevet
Skrevet
For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Kjære vene! Vær så snill og ikke villed folk! Det du påstår er rimelig heftig på bærtur. Bruker du Apaches og HTTP-protokollens innebygde mekanismer har man blant annet automatisk «challange response»-system, noe jeg til nå aldri har sett i et PHP-script uten at det er introdusert nye sikkerhetsproblemer. HTTP-auth er mer enn basic authentication hvor ting foregår i plaintext. Det er faktisk noe som heter digest også ... Kort og godt: Gjort riktig (dvs. ved bruk av digest) kan jeg overhode ikke se at det introduserer nye sikkerhetsproblemer. Eneste problemet med HTTP-auth er logout, men det får du uannsett og i motsettning til det du kan med PHP etterlater du deg ikke en «session» når bruker lukker nettleseren. I motsettning til scriptet skissert i tråden her fungerer forøvrig HTTP m/digest-metoden uten SSL også. Det klarer du ikke engang med PHP. Hvis du er uenig så er det meget velkommen til å dokumentere at HTTP digest er utrygt.

 

"Challange response"-system? (Det heter for øvrig "challenge"). Så vidt jeg vet er et hvilket som helst login-script dette. Jeg siterer fra Wikipedia:

The simplest example of a challenge-response protocol is password authentication, where the challenge is asking for the password and the valid response is the correct password.

 

Nøyaktig hva legger du i dette "challange response"-systemet ditt?

 

Jeg har aldri påstått at HTTP/Apache/Whatever er utrygt, jeg tolket heller din post hvor du mener PHP er utrygt - noe jeg reagerte på :)

 

PHP-motoren kan tulle seg. Hele PHP-modulen kan faktisk falle ut. Da blir PHP-koden sendt i klartekst.

 

Men hvis derimot Apache streiker, så blir blir det ikke sendt noe som helst kode.

 

Mener det var en diskusjon rundt akkurat dette med mange folk som prøvde å krasje lokal server, men ingen fikk noen gang sendt ut ren PHP-kode. Du kan jo prøve? ;)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...