> PHP-scriptet finns nu på RFA-siten som länken: > > http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX > X för den som använder GET-metoden och POST funkar oxo om man > tar bort parametrarna men kallas sina variabler för 'userid' > resp 'password'. > > Det finns även ett script som heter rfacmember.php som kan > anropas med ett krypterat lösenord till länken > http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX > XX. Det är inte MD5 kryftering utan posix "crypt" vilket är > en någon enklare kryptering. > > Borde finnas i Windows systemanrop men jag har inte letat ännu. > > /Conny Westh >
Jag tittade snabbt om jag kunde få spår på något passande till ASP. Hos http://serverobjects.com finns AspCrypt för gratis nedladdning, men det skulle knappast hjälpa dig då jag antar att ditt webbhotell inte har den komponenten installerad. Vad återstår, köra vidare med lösen i klartext eller implementera "Posix crypt()" i ett ASP-skript :-). Om vi bortser från driftpersonal i de olika inblandade miljöerna så är risken med klartextöverföring att någon avlyssnar trafiken någonstans på vägen och på så sätt kan tillskansa sig inloggningsuppgifter. Jag föreslår byte av variabelnamn till t ex "honung" (userid) och "bidrottning" (password) för att försvåra triggning på informationen. Naturligtvis skall inte de faktiska variabelnamnen diskuteras på någon lista, det får hugade implementerare läsa sig till på wikin (vi har väl https:, eller?). Skall man räkna in fler risker så blir min första anmärkning att userid/password lagras i serverloggarna om man använder GET-metoden. /tri
<<attachment: winmail.dat>>
