Nu har jag fixat till en exempelsida i ASP (VBScript) som visar på hur man kan kolla behörigheten från andra websiter mot RFA-databasen.
Källkoden är kanske lite för lång för att slänga ut här i Forum så jag lägger den som en länk (ZIPat) på exempelsidan så länge. Testa här http://rfa.rfa.se/cv/login.asp använd ditt vanliga userid och lösenord när du loggar in på RFA-sidan... Detta skript skickar lösenordet OKRYTERAT över internet så du vet det. Nästa steg är att göra en rutin som krypterar det först. Dokumentationen kan även läsas på WIKI http://wiki.rfa.se/index.php/Autenticering_asp av de som är intresserade att bidra med någon timmes arbete för att förbättra tjänsterna i RFA. /Conny Westh "Buy quality, cry once" -- Conny Westh, Verimentor AB, 070-752 22 51 [EMAIL PROTECTED], www.verimentor.se Kvalitetsmedvetna IT-konsulter http://www.rfa.se >-----Original Message----- >From: Anders Wallenquist [mailto:[EMAIL PROTECTED] >Sent: Thursday, June 12, 2003 12:53 AM >To: [EMAIL PROTECTED] >Subject: RFA Forum: Re: RFA Forum: SV: RFA Forum: RE: RFA >Forum: SV: RFA >Forum: Hur kolla behörighet mot RFA-medlemsdatabas i ASP? > > >Tommy Riboe wrote: > >>>PHP-scriptet finns nu på RFA-siten som länken: >>> >>>http://www.rfa.se/rfamember.php?userid=ConnyWesth&password=XXX >>>X för den som använder GET-metoden och POST funkar oxo om man >>>tar bort parametrarna men kallas sina variabler för 'userid' >>>resp 'password'. >>> >>>Det finns även ett script som heter rfacmember.php som kan >>>anropas med ett krypterat lösenord till länken >>>http://www.rfa.se/rfacmember.php?userid=ConnyWesth&password=XX >>>XX. Det är inte MD5 kryftering utan posix "crypt" vilket är >>>en någon enklare kryptering. >>> >>>Borde finnas i Windows systemanrop men jag har inte letat ännu. >>> >>>/Conny Westh >>> >>> >>> >> >>Jag tittade snabbt om jag kunde få spår på något passande till ASP. >>Hos http://serverobjects.com finns AspCrypt för gratis nedladdning, >>men det skulle knappast hjälpa dig då jag antar att ditt webbhotell >>inte har den komponenten installerad. Vad återstår, köra vidare med >>lösen i klartext eller implementera "Posix crypt()" i ett ASP-skript >>:-). >> >>Om vi bortser från driftpersonal i de olika inblandade miljöerna så är >>risken med klartextöverföring att någon avlyssnar trafiken någonstans >>på vägen och på så sätt kan tillskansa sig inloggningsuppgifter. Jag >>föreslår byte av variabelnamn till t ex "honung" (userid) och >>"bidrottning" (password) för att försvåra triggning på informationen. >>Naturligtvis skall inte de faktiska variabelnamnen diskuteras på någon >>lista, det får hugade implementerare läsa sig till på wikin (vi har >>väl https:, eller?). >> >>Skall man räkna in fler risker så blir min första anmärkning att >>userid/password lagras i serverloggarna om man använder GET-metoden. >> > >En annan lösning skulle kunna vara att ASP-programmet och > >rfacmember kommer överens om att göra om userid/password till en >krypterad sträng som överförs mellan programmen och som >packas/packas upp >med en hårdkodad hemlig nyckel som bara respektive program >känner till. >Kryptering med t ex Blowfish (om den finns på båda sidor vill säga). > >http://se.php.net/mcrypt >http://www.di-mgt.com.au/cryptoBlowfishASP.html > >Nackdelen med t ex MD5 är att den envägskrypterar, det är inte meningen >att en MD5-sträng skall gå att "dekryptera" igen. > > >/Anders W > > > >--- >Avsändare: http://cv.rfa.se/index.php/[EMAIL PROTECTED] >Sponsor: - Mfg Catalyst - MPS för små och medelstora företag http://www.mfgcatalyst.com --- Avsändare: http://cv.rfa.se/index.php/[EMAIL PROTECTED] Sponsor: Kör Krux Nätverksserver, snabbare, säkrare och billigare http://krux.kreawit.se
