Sign up for g-link newsletter here...Print?Tell a friend about this page...

10. november 2006:

Sikkerheden...




Login sikkerheden er strammet endnu engang.

Siden g-link systemets ver. 0.99 har alle admin password været lagret i databasen som en hash´et streng, dvs. en tekst i hexadecimalt format krypteret med en MD5 algoritme. Så et "indbrud" i databasen ville ikke kompromittere nogen administrators password. Endvidere forhindrede de krypterede password andre administratorer i at se hinandens password.

Men hver gang admin loggede ind blev admins password sendt i klar tekst mellem klienten (brugerens browser) og web-serveren.

Dette forhold udgør normalt ikke en større sikkerhedstrussel - de fleste af Internettets login-funktioner virker på denne måde med mindre der er tale om sikre forbindelser (kan kendes i browseren på pre-fixet "https://") - da det kræver et stykke sniffer-software at opsnappe kommunikationen (TCP/IP - pakkerne) og et relativt stort arbejde og nogen dygtighed efterfølgende at kunne udlede et brugernavn og password.

 

[Teknisk opstår sikkerhedsbristen når loginformen (/db/user/admin_login_form.asp) v.hj.a. metoden "POST" via HTTP-protokollen sender informationen til det modtagende fil på webserveren(/db/user/admin_login.asp), som indeholder den scriptkode, der efterfølgende kryptograferer (koder) klartekst passwordet med MD5 algoritmen, så den kodede værdi kan sammenlignes med den kodede værdi, som allerde ligger gemt i databasens passwordfelt.] 

 


Men denne potentielle sikkerhedrisiko er der nu delvis taget hånd om, idet krypoteringen med MD5 algoritmen er flyttet frem til selve login-formularen (/db/user/admin_login_form.asp). Herved sendes nu kun det krypterede password til serveren, hvilket betyder øget sikkerhed. Der er dog stadig mulighed for spoofing, dvs. at en hacker opsnapper TCP/IP-pakkerne med brugernavn og det krypterede password og efterfølgende genudsender dem - altså foregiver at være admin uden at kende passwords reelle indhold.

Sidstnævnte forhold arbejdes der også på at løse gennem en "Challenge - Response" teknik.
  
Og kom altid i hu, at ingen systemer er 100% sikre - med mindre du trækker netværkskablet ud af din computer...

Happy Surfin´
 

Written by Anders



News ID: 23

Return to News Index...