PHP-scriptet finns nu på RFA-siten som länken:
http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX
X för den som använder GET-metoden och POST funkar oxo om man tar bort parametrarna men kallas sina variabler för 'userid' resp 'password'.
Det finns även ett script som heter rfacmember.php som kan anropas med ett krypterat lösenord till länken http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX
XX. Det är inte MD5 kryftering utan posix "crypt" vilket är en någon enklare kryptering.
Borde finnas i Windows systemanrop men jag har inte letat ännu.
/Conny Westh
Jag tittade snabbt om jag kunde få spår på något passande till ASP. Hos http://serverobjects.com finns AspCrypt för gratis nedladdning, men det skulle knappast hjälpa dig då jag antar att ditt webbhotell inte har den komponenten installerad. Vad återstår, köra vidare med lösen i klartext eller implementera "Posix crypt()" i ett ASP-skript :-).
Om vi bortser från driftpersonal i de olika inblandade miljöerna så är risken med klartextöverföring att någon avlyssnar trafiken någonstans på vägen och på så sätt kan tillskansa sig inloggningsuppgifter. Jag föreslår byte av variabelnamn till t ex "honung" (userid) och "bidrottning" (password) för att försvåra triggning på informationen. Naturligtvis skall inte de faktiska variabelnamnen diskuteras på någon lista, det får hugade implementerare läsa sig till på wikin (vi har väl https:, eller?).
Skall man räkna in fler risker så blir min första anmärkning att userid/password lagras i serverloggarna om man använder GET-metoden.
En annan lösning skulle kunna vara att ASP-programmet och
rfacmember kommer överens om att göra om userid/password till en
krypterad sträng som överförs mellan programmen och som packas/packas upp
med en hårdkodad hemlig nyckel som bara respektive program känner till. Kryptering med t ex Blowfish (om den finns på båda sidor vill säga).
http://se.php.net/mcrypt http://www.di-mgt.com.au/cryptoBlowfishASP.html
Nackdelen med t ex MD5 är att den envägskrypterar, det är inte meningen att en MD5-sträng skall gå att "dekryptera" igen.
/Anders W
---
Avsändare: http://cv.rfa.se/index.php/[EMAIL PROTECTED]
Sponsor: - Mfg Catalyst - MPS för små och medelstora företag http://www.mfgcatalyst.com
