Hvor sikkert er password_protect.php fra Zubrag.com

[eLang]

Hvor sikkert er egentlig dette scriptet? Vil det være enkelt for folk med litt peil å komme forbi?...

[[kami]]

passorda blir jo lagra i klartekst i php dokumentet da, det er litt klønete, spess om php modulen din tryner.

 

passordet og brukernavn blir md5 hasha i cookien så her går det fint an å logge seg inn så lenge man har cookien. (den tar ikke hensyn på ip)

 

ville ikke brukt dette scriptet for å beskytte spess viktige filer, men funker vel greit for fotoalbum og slike ting.

[eLang]

passorda blir jo lagra i klartekst i php dokumentet da, det er litt klønete, spess om php modulen din tryner.

 

passordet og brukernavn blir md5 hasha i cookien så her går det fint an å logge seg inn så lenge man har cookien. (den tar ikke hensyn på ip)

 

ville ikke brukt dette scriptet for å beskytte spess viktige filer, men funker vel greit for fotoalbum og slike ting.

Har du noen forslag til noen sikkrere script?

[Ernie]

passorda blir jo lagra i klartekst i php dokumentet da, det er litt klønete, spess om php modulen din tryner.

... som er hvor mye bedre enn at passordet til databasen blir avslørt? Uannsett, det kan man enkelt motvirke ved å fjerne opprettelsen av $LOGIN_INFORMATION-arrayen og legge den i en fil som er utilgjenglige via web og inkludere denne filen.

 

passordet og brukernavn blir md5 hasha i cookien så her går det fint an å logge seg inn så lenge man har cookien. (den tar ikke hensyn på ip)

... som er eksakt det samme problemet som ørten andre innlogginger som benytter session i PHP eller tilsvarende i andre språk. Dette kan lett motvirkes ved kryptering (SSL/TLS aka. HTTPS). At den ikke sjekker opp mot IP eller nettleser er dog en helt klar svakhet med dette scriptet. Sånn sett er det ikke optimalt, men det kunne vært langt verre. For de aller fleste så vil nok dette være tilfredstillende sikkerhet, spesielt hvis man legger til en sjekk mot IP (f.eks utvider verify til brukernavn%passord%ip).

[[kami]]

eLangm, har ingen gode alternativer til deg, desverre. Men om du følger noen av Ernies tips (legge fila med b/p et sted man ikke har tilgang til den fra web og legge til en sjekk mot ip) vil det være mye bedre.

 

Personlig ville jeg nok godt for noe med databasebackend da brukeradministrasjon blir litt enklere. Men det kommer jo helt an på hva du skal bruke dette til.. Er det bare èn bruker (deg) så er det jo ikke noe vits.

 

Ernie, finnes sikkert mange svakheter i andre implementasjoner der ute, jeg bare pekte på de jeg så i dette scriptet.

... som er hvor mye bedre enn at passordet til databasen blir avslørt?

Spørs om den står bak brannmur eller ikke og om du har passord lagret i klartekst i databasen.. Men som du poengterer er ingen av delene spess heldig, derfor bør ikke slik informasjon være tilgjengelig i scripts.

[eLang]

Når dere skriver ”legge fila med b/p et sted man ikke har tilgang til den fra web” mener dere da hele .php fila eller bare den delen med b/p? I så fall hvordan linker jeg til en del av scriptet hvis det må ”deles opp”? Og hvor legger jeg den for at den skal være utilgengelig fra web?... Takker for hjelp så langt.

[[kami]]

som regel har du en www katalog, ikke legg fila i den. Du kan fremdeles include den i scriptene dine.

/home/www/index.php

/home/secret/includefile.php

 

bruk require_once for å inkludere