---

Er det muligt med php at sætte et password til en hjemmeside?
Hvordan kan man forhindre, at det ikke er synligt når folk
skifter til "source code"? Eller er det bare ikke muligt?
--
Dieter Britz

---

"Dieter Britz" <dieterhansbritz@gmail.com> skrev i meddelelsen
news:ivun1p$376$1@dont-email.me...

if (isset($_POST['password'])) {
// kontroller kodeordet her
$kodeord = 'true';
if (isset($_POST['password'])) $password = $_POST['password'];
$hash = sha1($password);
if ($hash == 'I21joXlPOSXkBvpY0bCa3h4WaLFrYXk=') {
if ($kodeord) $olswitch = 'setopdateron';
}
}

Ovennævnte er ikke fyldestgørende, blot et dumt eksempel
for at give dig en ide om hashværdier.

Sammen med brugerens id og kodeord gemmes en hashværdi.
Studer md5 og og sha1 hos
http://dk2.php.net/manual/en/function.md5.php

---

Den 17-07-2011 17:00, Mogens Jensen skrev:
>
> "Dieter Britz" <dieterhansbritz@gmail.com> skrev i meddelelsen
> news:ivun1p$376$1@dont-email.me...
>
> if (isset($_POST['password'])) {
> // kontroller kodeordet her
> $kodeord = 'true';
> if (isset($_POST['password'])) $password = $_POST['password'];
> $hash = sha1($password);
> if ($hash == 'I21joXlPOSXkBvpY0bCa3h4WaLFrYXk=') {
> if ($kodeord) $olswitch = 'setopdateron';
> }
> }
>
> Ovennævnte er ikke fyldestgørende, blot et dumt eksempel
> for at give dig en ide om hashværdier.
>
> Sammen med brugerens id og kodeord gemmes en hashværdi.
> Studer md5 og og sha1 hos
> http://dk2.php.net/manual/en/function.md5.php
>
>
Det mener du ikke

Man skal ikke gemme kodeordet, men kun hashværdien.
Så kan man ikke blive fristet^H^H^H^H^H^H^Hhacket, så brugerens kodeord
bliver afsløret.

Leif

---

Leif Neland wrote:

> Det mener du ikke
>
> Man skal ikke gemme kodeordet, men kun hashværdien.

HOV HOV

Man skal altid have et 'salt', så man ikke kan finde kodeordet vha
rainbow-tables.

> Så kan man ikke blive fristet^H^H^H^H^H^H^Hhacket, så brugerens kodeord
> bliver afsløret.

'Namogofer' er et eklatant eksempel på hvordan man overtager en server vha.
PHP

--
Med venlig hilsen
Stig Johansen

---

Dieter Britz skrev:

> Er det muligt med php at sætte et password til en hjemmeside?
> Hvordan kan man forhindre, at det ikke er synligt når folk
> skifter til "source code"? Eller er det bare ikke muligt?

Man kan ikke skifte til source code. En server vil aldrig servere
php-filer rå. De vil altid blive kørt gennem parseren.

Sørg for at *alle* dine filer har filendelsen .php. Nogle servere
serverer heller ikke inc-filer rå - men det kan man ikke regne
med. Derfor består mine PHP-projekter af to slags filer: nogle
med enelsen .php og nogle med endelsen .inc.php. De sidste er
naturligvis include-filer.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On 07/18/2011 09:47 AM, Bertel Lund Hansen wrote:
> Dieter Britz skrev:
>
>> Er det muligt med php at sætte et password til en hjemmeside?
>> Hvordan kan man forhindre, at det ikke er synligt når folk
>> skifter til "source code"? Eller er det bare ikke muligt?
>
> Man kan ikke skifte til source code. En server vil aldrig servere
> php-filer rå. De vil altid blive kørt gennem parseren.
>
> Sørg for at *alle* dine filer har filendelsen .php. Nogle servere
> serverer heller ikke inc-filer rå - men det kan man ikke regne
> med. Derfor består mine PHP-projekter af to slags filer: nogle
> med enelsen .php og nogle med endelsen .inc.php. De sidste er
> naturligvis include-filer.
>

Hav aldrig kodeord i php-filer. Hvis din server af en eller anden grund
pludselig er fejlkonfigureret ( eventuelt i forbindelse med en
opdatering ), kan du risikere at eksponere dine php-filer direkte. Det
kan eksempelvis ske, hvis en opdatering fejler i php, og mod php derfor
ikke installeres og serveren så begynder at sende php-filerne som
almindelige tekstfiler.

Har man phpfiler med kodeord ( eksempelvis databasekodeord ), bør de
placeres uden for webscope, så de ikke kan nås via http.

Venligst

Christian

--
Christian Hansen
http://www.resource-it.dk/

---

Christian Hansen wrote:
[...]
> Hav aldrig kodeord i php-filer. Hvis din server af en eller anden grund
> pludselig er fejlkonfigureret ( eventuelt i forbindelse med en
> opdatering ), kan du risikere at eksponere dine php-filer direkte. Det
> kan eksempelvis ske, hvis en opdatering fejler i php, og mod php derfor
> ikke installeres og serveren så begynder at sende php-filerne som
> almindelige tekstfiler.
>
> Har man phpfiler med kodeord ( eksempelvis databasekodeord ), bør de
> placeres uden for webscope, så de ikke kan nås via http.

Kan du give et eksempel for hvordan det kunne være? Det forekommer mig
fornuftigt. Hvad med at lægge det i en ikke-html (eller -php-)-fil i
samme directory, som php-koden kan læse fra? Er det sikkert?
--
Dieter Britz (dieterhansbritz<at>gmail.com)

---

On 18-07-2011 15:53, Dieter Britz wrote:

> Kan du give et eksempel for hvordan det kunne være? Det forekommer mig
> fornuftigt. Hvad med at lægge det i en ikke-html (eller -php-)-fil i
> samme directory, som php-koden kan læse fra? Er det sikkert?

Det kunne vel f.eks. være at oprette en mappe, og så sætte adgangen til:
rw- - --- - --- (600).

Så har kun ejeren (serveren) adgang til at læse/skrive i den.

Karl Erik.

--
http://dmwebdesign.dk - DM i Webdesign
http://ranunkelvej.com/b&o/ - Reparation af B&O Red Line højttalere
http://webdesign.ranunkelvej.com - Artikler om webdesign

---

Dieter Britz skrev:

>> Har man phpfiler med kodeord ( eksempelvis databasekodeord ), bør de
>> placeres uden for webscope, så de ikke kan nås via http.

> Kan du give et eksempel for hvordan det kunne være?

På mit webhotel er strukturen:

   /
   |
   + [ ] www
    |
    + [ ] <domæne1>
    + [ ] <domæne2>
    + [ ] <domæne3>
    osv.

Hvad jeg placerer i roden, kan nås med PHP, men kun undermapper i
www kan nås via HTTP.

> Det forekommer mig
> fornuftigt. Hvad med at lægge det i en ikke-html (eller -php-)-fil i
> samme directory, som php-koden kan læse fra? Er det sikkert?

Intet er sikkert. Det er et spørgsmål om grader. Hvis der ikke er
spærret for visning af en mappeoversigt, kan alle og enhver læse
hvad som helst i mappen (hvis det ikke er blokeret på filniveau).
Hvis der er spærret, men det svipser en dag, sker det samme.

Ligger filen uden for webscope, skal serveren hackes af eksperter
før der er adgang.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:

> Ligger filen uden for webscope, skal serveren hackes af eksperter
> før der er adgang.

Eksperter - ja, personer - nej.

Kigger man på Namogofer er det en højt automatiseret process, der stille og
roligt opsamler en 'vidensdatabase' over sårbare servere.

Det giftiger er, at den kan identificere, kortlægge strukturer, og derefter
fjerne ethvert spor, så 'offeret' ikke aner noget som helst.

Lad mig lave en analogi:

En tyvebande fiser rundt i villakvarterer, og prøver om hoveddøren er låst.
I stedet for at bryde ind, fører man katalog over hvem der låser døren, og
hvem der ikke låser døren.

Dem der bor i huset aner ikke der er nogen der har tjekket dørhåndtaget, men
tyvebanden fører register over ulåste døre.

Når (hvis) man har brug for indbrud, slår man blot op i dette register, og
først der udnyttes de.

--
Med venlig hilsen
Stig Johansen