Sign up for g-link newsletter here...Print?Tell a friend about this page...

20. januar 2006:

Sikkerheden strammet - igen...




Nu foregår administrator login med MD5 énvejs - kryptering.

Princippet er, at når en adminstrator oprettes (af en anden admin med rettigheder til at oprette nye administratorer) bliver det indtastede password "hashet" med en MD5 krypterings algoritme. Herefter lagres det krypterede password i databasens tabel.

Da der er tale om en "digest" eller énvejs - kryptering, er det ikke muligt at genskabe det oprindelige password ud fra værdien i tabellens record. Det betyder, at skulle en hacker få adgang til databasen, vil han ikke kunne læse administratorens password.

Men det er muligt at sammenligne værdien i tabellen med et klartekst password, som i afleveringsøjeblikket tilføjes samme kryptering - og hvis det password, som brugeren netop har indtastet og afsendt i krypteret form, er det samme som det password, der ligger i databasen, er administratoren godkendt!

Når administratoren er godkendt, skriver web-serveren en "session cookie", dvs. en unik værdi, til administratorens browser. Denne værdi eksisterer kun så længe administratoren har sin browser åben og bruger den. Serverens "Session Timeout" er afgørende for, hvorlænge sessionen overlever: Hvis serverens timeout er sat til 20 min., vil administratoren skulle logge ind igen, såfremt hans browser er åben (men inaktiv) i mere end 20 min. 

Written by Anders



News ID: 13

Return to News Index...