Skjule kildekoden på en hjemmeside...

[haackon]

Hallo.

 

Jeg har fått en oppgave å lage en sånn enkelt logginbase.

 

Det har hittil gått helt fint, og basen fungerer som det skal. Men vi har et problem for hackere.

 

Det trengs ikke skikkelige proffesjonelle hackere for å hacke basen, ettersom det er laget i HTML og Javascripts.

 

Så med andre ord, jeg kan klikke på Vis, Vis kildekode. Dermed så får jeg fram kildekoden, og der har vi et javascriptside, som heter pass2b23nxmw32.js (et eksempel).

 

Det er laget en direkte link til den inni kildekoden. Så hvis hackeren vil se alle passorda og brukernavna, er det bare å klikk på f. eks. www.mindomene.com/pass2b23nxmw32.js, og man får en forespørsmål om å laste ned det javascriptet. Man lagrer det, og åpner det med Notisblokk eller WordPad, og dermed er hele kildekoden og passordlista kibba, lettere enn å si hei!

 

Brukerene skal altså når de har skrivd inn passordet og brukernavnet, gå til sin egen side med privat innhold.

 

Så derfor trenger vi å beskytte serveren våres. Vet noen en måte å sperre kildekoden på, eller i minste fall hindre brukere i å få det javascriptet??

 

Jeg takker for alle svar, venter på svar før jeg går videre....

 

Serveren støtter også PHP, men det eneste jeg kan i PHP er <?php og ?>....

Endret 24. februar 2004 av haackon

[Dino_]

... Vet noen en måte å sperre kildekoden på, eller i minste fall hindre brukere i å få det javascriptet??

Nei, Javascript er rett og slett ubrukelig til dette formålet.

Bruk php, let opp noen script eller tut`s på www.hotscripts.com og søk hjelp på php-forumet så årner det deg skal du se.

 

Og for ordens skyld, det er ikke hackere men crackere du trenger å beskytte deg mot.

[RolfOve]

Bruk vanlig http-authenication i steden, eller php hvis du er mer dreven, er ikke særlig vanskelig.

[[ReXoR]]

Dersom serveren kjører Apache, kan du jo gjøre som kisen ovenfor skriver, og det er ganske så enkelt også.

 

Nå så husker ikke jeg så mye, men stikkordene er .htaccess authorisation og .htpassword.

 

 

Sikkert, og trenger ikke være noen atomforsker for å sette det opp. Finner sikkert noen tutorials til det.

[haackon]

' date='24/02/2004 : 02:08'] Dersom serveren kjører Apache, kan du jo gjøre som kisen ovenfor skriver, og det er ganske så enkelt også.

 

Nå så husker ikke jeg så mye, men stikkordene er .htaccess authorisation og .htpassword.

 

 

Sikkert, og trenger ikke være noen atomforsker for å sette det opp. Finner sikkert noen tutorials til det.

Hei.

 

Nei, ikke atomforsker.

 

Men kan noen komme med noen tips om hvilken tourtals jeg burde å bruke??

 

Har leita en stund, men finner ikke en shit, med andre ord.

 

Takker for hjelp...

[Lokaltog]

Legg til dette i en fil du kaller ".htaccess" i banen "/home/public_html/dir/":

 

AuthType Basic
AuthName "Passordbeskyttet"
AuthUserFile "/home/bruker/.htpasswds/dir/passwd"
require valid-user

 

og dette i en fil du kaller "passwd" under "/home/bruker/.htpasswds/dir/"

 

user:pass

 

Vet ikke om du må kryptere passwd-filen, men dette er ihvertfall basic hvordan du kan gjøre det. Forutsetter at serveren kjører Apache.

 

Korriger meg dersom noe er feil..

Endret 24. februar 2004 av lokaltog

[anderlin]

På GNU/Linux kan du bruke htpasswd til å kryptere passordet. Syntaks:

htpasswd -c .navnPaaFil brukernavn

"-c" brukes bare første gang, og skal ikke taes med når man legger til flere brukere.

[DexterBlasted]

Søk i Google med "user authentication script php" og du vil finne masse ferdige scripts. Det følger som oftest også med utfyllende instruksjoner om hvordan du skal sette de opp.

[[ReXoR]]

Jepp.

 

Hmm..

her finner du en del flotte PHP-scripts;

http://php.resourceindex.com/Complete_Scri...ser_Management/

 

 

Og et som vekket oppmerksomheten min, var NeedLock da denne sannsynligvis lager egne .htaccess og krypterte .htpasswd-filer for deg.

 

Men ellers, finner du jo også mange andre flotte passord-greier på siden der.

(dersom serveren har støtte for CGI, finner man også mange flotte på http://cgi.resourceindex.com )

[Cucum(r)]

Sikkert noen på denne delen av forumet som kan hjelpe deg ganske langt

[pgdx]

Jeg ville nok valgt php, ja. Og kanskje MySQL.

 

if (md5($pass) === '17115d66a47bd54f91ca0549e83d2681')) {

goto login;

}

else {

kick/ban user 4 life;

}

 

 

Ps: Se om dere klarer å backwardshashe den stringen, da...

 

Pps: Hvis dere vil raskt sjekke hva noe blir i md5, kan dere bruke denne siden

[Crack]

==== Slettet ====

Endret 24. mai 2006 av Crack

[haackon]

På GNU/Linux kan du bruke htpasswd til å kryptere passordet. Syntaks:

htpasswd -c .navnPaaFil brukernavn

"-c" brukes bare første gang, og skal ikke taes med når man legger til flere brukere.

Hei.

 

Jeg må programmere i Windows fordi jeg som vanlig bruker Dreamwaver og Photoshop (som jeg er mest kjent med), så det blir så elvetes rotete å ha halvparten av filene mine i LInux mens resten i Windows.

 

Men altså, denne siden skal seff. vises av både Linux og Win-brukere eller andre.

 

Men trenger bare å skjule passordet, brukernavnet er ikke allverdens katastrofe, ettersom man heller kan trykke på "List Brukere"....

 

Men som sagt, serveren støtter også PHP, så derfor kan jeg laste ned ferdige PHPscripts. Men det er en ulempe med disse, det er at man aldri kan vite innholdet, også kan jeg eventuelt ikke PHP, så jeg kan ikke se noe kildekodefeil.

 

Men så er jeg dum og da

 

Vet dere om gode PHP scripts?

 

Det skal være loggin til et privat område, med privat info. Jeg håper det følger sånne med at de setter opp basen for det, akkurat som f. eks. PHPBB, den setter opp MySQLbasen for deg.

 

Ja, jeg har en MySQLbase, med en 20 GB HDD. Holder det??

 

Jeg takker for alle svar....

[[ReXoR]]

Det han mener med GNU/Linux, er at dersom du kjører opp websiden på en Linux-server, så kan du kjøre en kommando for å legge til brukere i konsollen på Linuxserveren (telnet - ligner mye på DOS dersom du ikke har brukt det før).

 

Hvis jeg ikke misforstod deg?

Altså, la oss si at jeg lager en webside, og legger den opp på en server.

Serveren kjører Linux, og Apache. Dermed lager jeg websiden min i Dreamweaver (eller Frontpage ), og laster denne over til webserveren min.

 

Etterpå, laster jeg over noen konfigurasjonsfiler (.htaccess), og i denne står det hvor passord-filen ligger.

Når jeg har lastet opp den, er det da en ting som gjenstår: å lage en passord-fil.

Da må jeg ha tilgang inne på webserveren, og kjøre en kommando som heter htpasswd -c .passordfiladi brukernavnetduskalleggetil.

 

Denne vil da lage brukeren med et passord som du spesifiserer.

 

 

Det som er teit med å bruke denne metoden (ihvertfall som jeg synes), er at man ikke har noen mulighet til å liste brukere såvidt jeg veit.

 

Men det er sikkert som pokker

 

 

Edit: Personlig anbefaler jeg deg å bruke en PHP/CGI-løsning. Det finnes en del enkle scripts som det bare er å konfigurere, og laste rett opp på nett.

Endret 26. februar 2004 av [ReXoR]

[ekarlso]

bruk php

[anderlin]

] Det som er teit med å bruke denne metoden (ihvertfall som jeg synes), er at man ikke har noen mulighet til å liste brukere såvidt jeg veit.

Mener du å skrive ut en liste over brukere? Det skal vel fungere å skrive

exec('cat .htpass | cut -f1 -d:');

 

Men helt sikkert er det ikke, for passordene går i klartekst, og sendes hver gang en side lastes.

Endret 26. februar 2004 av anderlin

[haackon]

Vi skal bestille fra www.web10.nu, og jeg trukke dem lar oss gjøre dette...

 

Serveren hjemme hos meg har 128 kbitps opplasting, og på hjemmesiden vår skal det blandt annet komme masse downloads, og screenshots (bilder), så det kommer ikke til å bli noee morsomt. Jeg har Apache server på min maskin, men det hjelper akkurat ikke.

 

Vet noen en direkte link til et bra PHPscript som vi kan bruke?

 

Jeg er takknemlig for alle svar!!

 

Mvh Haackon

Endret 26. februar 2004 av haackon

[[ReXoR]]

] Det som er teit med å bruke denne metoden (ihvertfall som jeg synes), er at man ikke har noen mulighet til å liste brukere såvidt jeg veit.

Mener du å skrive ut en liste over brukere? Det skal vel fungere å skrive

exec('cat .htpass | cut -f1 -d:');

 

Men helt sikkert er det ikke, for passordene går i klartekst, og sendes hver gang en side lastes.

Aha

Lærte jeg noe nytt i dag også

[jorgis]

web10.nu har (så vidt jeg vet) ikke støtte for .htaccess eller shell-tilgang, så det er utelukket. Spør i PHP-forumet, eller søk på www.hotscripts.com

[bazzo]

Legg inn denne javascript koden i <head></head> på siden.

 

<script language="javascript">

<!--

var isNS = (navigator.appName == "Netscape") ? 1 : 0;

var EnableRightClick = 0;

if(isNS)

document.captureEvents(Event.MOUSEDOWN||Event.MOUSEUP);

function mischandler(){

  if(EnableRightClick==1){ return true; }

  else {return false; }

}

function mousehandler(e){

  if(EnableRightClick==1){ return true; }

  var myevent = (isNS) ? e : event;

  var eventbutton = (isNS) ? myevent.which : myevent.button;

  if((eventbutton==2)||(eventbutton==3)) return false;

}

function keyhandler(e) {

  var myevent = (isNS) ? e : window.event;

  if (myevent.keyCode==96)

    EnableRightClick = 1;

  return;

}

document.oncontextmenu = mischandler;

document.onkeypress = keyhandler;

document.onmousedown = mousehandler;

document.onmouseup = mousehandler;

//-->

</script>

 

og så legger du denne koden i en index fil og linker <frame src> til den originale "index.htm"

 

 

<frameset framespacing="0" border="0" frameborder="NO">

    <frame src="index fil" name="navn" scrolling="yes" noresize>

  </frameset>

 

  <noframes>

    <body>

    </body>

  </noframes>