Beskytte Siden Din!

[Thomas.]

Har laget en kode så du kan passord-beskytte siden din!

 

 

 

 

 

Her er koden:

 

<?php

// Laget av support-u.110mb.com
// Du kan gjøre hva du vil med scriptet =)









// Under her så sett passord og brukernavn: [Endre "bruker her" til brukernavnet ditt. og endre 'passher' med ditt passord du vil ha!]
$username = "bruker her";
$password = "passher";

if ($_POST['txt1'] != $username || $_POST['txt2'] != $password) {

?>
<style type="text/css">
body {
  width:550px;
  height:auto;
  margin:20px auto 20px auto;
  background:#ffffff;
  font-family:verdana,arial,sans-serif;
  font-size:12px;
}
.textfield {
  border:1px solid #003090;
  background:#ffffcc;
  width:200px;
}
</style>
<table width="400" border="0" align="center" cellpadding="3" cellspacing="0">
<tr>
<td><strong>Test Sign Guestbook </strong></td>
</tr>
</table>
<table width="400" border="0" align="center" cellpadding="0" cellspacing="1" bgcolor="#CCCCCC">
<tr>
<form name="logginn" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<td>
<table width="400" border="0" cellpadding="3" cellspacing="1" bgcolor="#FFFFFF">
<tr>
<td width="117">Brukernavn</td>
<td width="14">:</td>
<td width="357"><input type="text" title="Skriv inn brukernavn" name="txt1" class="textfield"></td>
</tr>
<tr>
<td>Passord</td>
<td>:</td>
<td><input type="text" title="Skriv inn passordet" name="txt2" class="textfield"></td>
</tr><tr>
<td> </td>
<td> </td>
<td><input type="submit" name="Submit" value=" Submit "> <input type="reset" name="Submit2" value=" Avbryt " /></td>
</tr>
</table>
</td>
</form>
</tr>
</table>
<?php
}
else {
?>
<p><h1>Her skal du ha alt av siden osv....</h1></p>

<?php
}
?>

 

 

 

 

 

Gjerne gi en liten kommentar

[Fruktkake]

Er det ikke bare å vise kilden for å se passordet?

[Thomas.]

Nei, for dette er kodet i php. Det kan man ikke se i kilden!

[kpolberg]

men man ser jo alikevel at du har passord delen som txt2, og kan derfor anta at passordfilen er txt2.txt eller liknende. Så jeg tror nok jeg holder meg til .htaccess / .htpasswd foreløpig.

 

Min feil, leste ikke gjennom, men fremdeles. Altfor usikkert.Og altfor begrenset område man kan bruke det til.

Endret 1. november 2007 av kpolberg

[Thomas.]

Ingen som vet hva PHP er eller ?

[kpolberg]

Jeg vet veldig godt hva php er, og hva det ikke er. Men å ha passord i klartekst blir for dumt uansett hvor mye du vrir og vender på det, det er greit at php er serverside, men det hjelper lite. Og jeg tror egentlig de fleste skulle klart å lagt den lille if setningen der.

[Thomas.]

Vel det er umulig å se php koden!

[Thomas.]

* borte

Endret 21. mars 2008 av php_user

[RC1]

Som kpolberg sier så er vel ikke denne koden 100% sikker men den hindrer de aller fleste internettbrukere i å komme inn på siden.

[endrebjo]

Apache fikser beskyttelse mye raskere og sikrere enn et PHP-skript. Det ser kanskje ikke like strømlinjeformet ut, men det fungerer smertefritt.

http://httpd.apache.org/docs/2.0/howto/auth.html

[loathsome]

For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Endret 1. november 2007 av loathsome

[kpolberg]

Nåda, jeg vil nå si at det absolutt er relevant for tråden. Men for all del, fint script og takk skal php_user ha. Takk for idag.

[SimDaDim]

Var et fint script det "php_user". Det du bruker der der faktisk basicen i php, og hvordan man lager et brukersystem i php.

 

Du kan jo f.eks prøve å utvide det litte gran Hvis du leser litt om det som kalles sessions så kan du lage større nettsider som er passordbeskyttet. Du burte også lese litt om hash av passord, og jeg tenker da på md5 og sha1.

 

Vidre til dere som sier at ting er så usikkert, hva med å fortelle hva som er usikkert?

[Thomas.]

Bra at noen poster positive meldinger =)

[Ernie]

For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Kjære vene! Vær så snill og ikke villed folk! Det du påstår er rimelig heftig på bærtur. Bruker du Apaches og HTTP-protokollens innebygde mekanismer har man blant annet automatisk «challange response»-system, noe jeg til nå aldri har sett i et PHP-script uten at det er introdusert nye sikkerhetsproblemer. HTTP-auth er mer enn basic authentication hvor ting foregår i plaintext. Det er faktisk noe som heter digest også ... Kort og godt: Gjort riktig (dvs. ved bruk av digest) kan jeg overhode ikke se at det introduserer nye sikkerhetsproblemer. Eneste problemet med HTTP-auth er logout, men det får du uannsett og i motsettning til det du kan med PHP etterlater du deg ikke en «session» når bruker lukker nettleseren. I motsettning til scriptet skissert i tråden her fungerer forøvrig HTTP m/digest-metoden uten SSL også. Det klarer du ikke engang med PHP. Hvis du er uenig så er det meget velkommen til å dokumentere at HTTP digest er utrygt.

Endret 30. november 2007 av Ernie

[Anders Moen]

Den her skulle vel kanskje vært i PHP-forumet?

Og så kanskje en liten tur innom PHP-kode som andre kanskje kan bruke eller hva nå enn den tråden heter?

 

Og til dere som tror at man kan lese passordet i fra kildekoden: lol

 

Hvis dere har en server hvor dere kan bruke PHP, lag en fil, f. eks test.php og tast inn dette:

<?php
$brukernavn = "brukernavn";
$passord = "passord";
echo 'Velkommen, ' . $brukernavn . '. Ditt passord hasha med md5 er: ' . md5($passord);
?>

Hva tror du hadde vist seg i kildekoden?

Dette:

"Velkommen, brukernavn. Ditt passord hasha med md5 er _32_bokstaver_og_tall_om_jeg_ikke_husker_feil"

 

Så man hadde ikke sett passordet selv om det er skrevet med klartekst slik, hvis ingen hadde skrevet

echo $passord;

uten noen hashing eller kryptering rundt

 

[endrebjo]

PHP-motoren kan tulle seg. Hele PHP-modulen kan faktisk falle ut. Da blir PHP-koden sendt i klartekst.

 

Men hvis derimot Apache streiker, så blir blir det ikke sendt noe som helst kode.

Endret 1. desember 2007 av endrebjorsvik

[vi3t]

jeg mener dette er bra basic =) ikke 100% sikkert.. men er bedre enn å ikke ha noen beskyttelse..

[endrebjo]

jeg mener dette er bra basic =) ikke 100% sikkert.. men er bedre enn å ikke ha noen beskyttelse..

Hva beskytter man egentlig med noe så lite?

[loathsome]

For en utrolig idiotisk måte å gjøre det på ...

 

endrebjorsvik og dere andre, vennligst dropp snakket om Apache og alternative måter å beskytte sider på, det er ikke relevant til tråden i det hele tatt. Å påstå at Apache uansett er sikrere en et hvilket som helst PHP-script viser bare totalt mangel på kunnskap innenfor dette emnet.

Kjære vene! Vær så snill og ikke villed folk! Det du påstår er rimelig heftig på bærtur. Bruker du Apaches og HTTP-protokollens innebygde mekanismer har man blant annet automatisk «challange response»-system, noe jeg til nå aldri har sett i et PHP-script uten at det er introdusert nye sikkerhetsproblemer. HTTP-auth er mer enn basic authentication hvor ting foregår i plaintext. Det er faktisk noe som heter digest også ... Kort og godt: Gjort riktig (dvs. ved bruk av digest) kan jeg overhode ikke se at det introduserer nye sikkerhetsproblemer. Eneste problemet med HTTP-auth er logout, men det får du uannsett og i motsettning til det du kan med PHP etterlater du deg ikke en «session» når bruker lukker nettleseren. I motsettning til scriptet skissert i tråden her fungerer forøvrig HTTP m/digest-metoden uten SSL også. Det klarer du ikke engang med PHP. Hvis du er uenig så er det meget velkommen til å dokumentere at HTTP digest er utrygt.

 

"Challange response"-system? (Det heter for øvrig "challenge"). Så vidt jeg vet er et hvilket som helst login-script dette. Jeg siterer fra Wikipedia:

The simplest example of a challenge-response protocol is password authentication, where the challenge is asking for the password and the valid response is the correct password.

 

Nøyaktig hva legger du i dette "challange response"-systemet ditt?

 

Jeg har aldri påstått at HTTP/Apache/Whatever er utrygt, jeg tolket heller din post hvor du mener PHP er utrygt - noe jeg reagerte på

 

PHP-motoren kan tulle seg. Hele PHP-modulen kan faktisk falle ut. Da blir PHP-koden sendt i klartekst.

 

Men hvis derimot Apache streiker, så blir blir det ikke sendt noe som helst kode.

 

Mener det var en diskusjon rundt akkurat dette med mange folk som prøvde å krasje lokal server, men ingen fikk noen gang sendt ut ren PHP-kode. Du kan jo prøve?