Ens menuer/sikkerhed m.h.t. password osv.

Her er der mulighed for at komme med forslag til forbedringer til Saldi

Redaktører: Agerskov, Peter Rude, Sarah Aagaard

Besvar
JesperKP
Indlæg: 6
Tilmeldt: søn maj 01, 2005 5:06 pm
Geografisk sted: Nordjylland, Sindal

Ens menuer/sikkerhed m.h.t. password osv.

Indlæg af JesperKP »

Ved brug af menuerne er der gennemgående mulighed for at clicke på "tilbage" linken for at komme til hovedmenuen.
Dog hvis man bruger "Finans - Rapporter" skal man trykke på "Hovedmenu" for at komme tilbage til hovedmenuen.
Jeg vil foreslå at i stedet for "tilbage" bruges der "Hovedmenu", når man går til hovedmenuen, og "tilbage" når man går til en undermenu man tidligere har stået i.

Med hensyn til login til systemet er der en alvorlig sikkerhedsrisiko, ved at adgangskoden sendes som klartekst, for derefter i scriptet at blive enkodet med md5 hash algoritme. Misbrugsforsøg v.h.a. et "man in the middle" angreb vil med det samme kunne aflæse koden.
Dette kan undgås ved at bruge følgende fremgangsmåde:
koden der er gemt i databasen er md5 enkodet
ved login sendes et "tilfældigt" tal (f.eks. en tidskode) (lad os kalde den "timeprint") til brugerens web browser (gøres typisk v.h.a. et skjult formfelt i login funktionen)
brugerens web browser udregner så v.h.a. javascript f.eks. md5(md5(password)+timeprint) hvilket så sendes til serveren.
md5(....) er forskelligt HVER gang fordi serveren leverer forskellig "timeprint" hver gang.
Når serveren så skal bekræfte at koden er korrekt, så gør serveren det samme, dvs. den henter det original md5 enkodet password fra databasen, lægger det sammen med det "timeprint" den sendte til klienten, laver md5 ud af det og sammenligner det med, det der blev leveret fra brugerens webbrowser.
Det er ikke besværligt at kode, hverken PHP eller javascript delen.

(okey... det var en lang smøre - men sikkerhed er vigtigt så den eneste rigtige løsning er nok at altid køre forbindelsen over SSL)

Ellers ser det rigtigt interessant ud :D

Mvh
Jesper K. Pedersen
Peter Rude
Udvikler
Indlæg: 613
Tilmeldt: tirs okt 28, 2003 11:07 pm

Indlæg af Peter Rude »

Lyder som en rigtig god ide. Hvis det med passwords er noget du kan lave, skal du være meget velkommen. Men du har under alle omskændigheder ret i at det må anbefales at køre det under ssl.

/Peter
Brugeravatar
Agerskov
Indlæg: 260
Tilmeldt: man nov 01, 2004 11:42 pm
Geografisk sted: Albertslund, Sjælland
Kontakt:

Re: Ens menuer/sikkerhed m.h.t. password osv.

Indlæg af Agerskov »

JesperKP skrev:Ved brug af menuerne er der gennemgående mulighed for at clicke på "tilbage" linken for at komme til hovedmenuen.
Dog hvis man bruger "Finans - Rapporter" skal man trykke på "Hovedmenu" for at komme tilbage til hovedmenuen.
Jeg vil foreslå at i stedet for "tilbage" bruges der "Hovedmenu", når man går til hovedmenuen, og "tilbage" når man går til en undermenu man tidligere har stået i.
Er endnu ikke implementeret, men oprettet i sagshåndteringerssystemet Saldi Trac som billetten Hovedmenu og Tilbage som linktekst i stedet for Luk.
Med hensyn til login til systemet er der en alvorlig sikkerhedsrisiko ...
Er endnu ikke implementeret, men oprettet i sagshåndteringerssystemet Saldi Trac som billetten Sikker adgangskoder over usikker forbindelse.

De herligste hilsner
Claus Agerskov
Billede

Støt udviklingen og få omgående hjælp - Tegn en hotline-aftale.
Telefon: 46 90 22 08
nielsrune
Indlæg: 63
Tilmeldt: tors maj 14, 2009 7:04 pm
Kontakt:

Indlæg af nielsrune »

Et kig på mine apache logfiler bragte mig på sporet af denne gamle tråd.

Et ugyldig argument i mktime() gav mig en masse fejlbeskeder i logfilen, og så konstaterede jeg, at der tidligere er indarbejdet en funktion til at hashe passwordet inden det sendes til serveren, men at funktionen er slået fra i connect.php

Jeg slog funktionen til, men fik fejl ved login. Så jeg har nu roddet lidt med koden og fået det til at virke på min installation (med MySQL).

Bemærk, at md5.js i mappen javascript skal opdateres, ellers virker passwords der indeholder æøå ikke.

Jeg har lagt mine ændringer og en nærmere beskrivelse til frit gennemsyn af alle her:
https://code.google.com/p/saldi-upstrea ... detail?r=5
Besvar