Fetstil Fetstil Kursiv Understrykning linje färgläggning tabellverk Punktlista Nummerlista Vänster Centrerat högerställt Utfyllt Länk Bild htmlmode
  • Forum & Blog
    • Forum - översikt
      • .Net
        • asp.net generellt
        • c#
        • vb.net
        • f#
        • silverlight
        • microsoft surface
        • visual studio .net
      • databaser
        • sql-server
        • databaser
        • access
        • mysql
      • mjukvara klient
        • datorer och komponenter
        • nätverk, lan/wan
        • operativsystem
        • programvaror
        • säkerhet, inställningar
        • windows server
        • allmänt
        • crystal reports
        • exchange/outlook
        • microsoft office
      • mjukvara server
        • active directory
        • biztalk
        • exchange
        • linux
        • sharepoint
        • webbservers
        • sql server
      • appar (win/mobil)
      • programspråk
        • c++
        • delphi
        • java
        • quick basic
        • visual basic
      • scripting
        • asp 3.0
        • flash actionscript
        • html css
        • javascript
        • php
        • regular expresssion
        • xml
      • spel och grafik
        • DirectX
        • Spel och grafik
      • ledning
        • Arkitektur
        • Systemutveckling
        • krav och test
        • projektledning
        • ledningsfrågor
      • vb-sektioner
        • activeX
        • windows api
        • elektronik
        • internet
        • komponenter
        • nätverk
        • operativsystem
      • övriga forum
        • arbete karriär
        • erbjuda uppdrag och tjänster
        • juridiska frågor
        • köp och sälj
        • matematik och fysik
        • intern information
        • skrivklåda
        • webb-operatörer
    • Posta inlägg i forumet
    • Chatta med andra
  • Konto
    • Medlemssida
    • Byta lösenord
    • Bli bonsumedlem
    • iMail
  • Material
    • Tips & tricks
    • Artiklar
    • Programarkiv
  • JOBB
  • Student
    • Studentlicenser
  • KONTAKT
    • Om pellesoft
    • Grundare
    • Kontakta oss
    • Annonsering
    • Partners
    • Felanmälan
  • Logga in

Hem / Forum översikt / inlägg

Posta nytt inlägg


Säkerhet

Postades av 2006-07-29 02:00:26 - Michael Dahlander, i forum php, Tråden har 4 Kommentarer och lästs av 990 personer

Hej!

Några frågor om säkerhet:

* Om jag har en fil som heter "hemligt.txt" i min mapp så kommer man åt den genom att skriva www.minsite.se/minmapp/hemligt.txt. Men om man inte vet vad filen heter kan man komma åt den då? Går det på något sätt att läsa innehållet i en mapp fast den innehåller en startsida, som till exempel index.php, och på så sätt se vilka filer mappen innehåller?

* Kan man läsa innehållet i en php-sida? Alltså ladda hem den och inte få den att köras på servern.

* Om man sätter en cookies vid kontroll av inloggning och sedan kontrollerar innehållet i denna i början på varje php-sida, är detta en tillräcklig säkerhet?

* Kan man leta upp cookien på datorn och läsa innehållet?

* Kan man ändra innehållet i en cookie och på så sätt lura min php-sida?

mvh
/Michael


Svara

Sv: Säkerhet

Postades av 2006-07-29 10:39:25 - Per Persson

<b>* Om jag har en fil som heter "hemligt.txt" i min mapp så kommer man åt den genom att skriva www.minsite.se/minmapp/hemligt.txt. Men om man inte vet vad filen heter kan man komma åt den då? Går det på något sätt att läsa innehållet i en mapp fast den innehåller en startsida, som till exempel index.php, och på så sätt se vilka filer mappen innehåller?</b>

Sannolikt inte (om det inte i applikationen finns någon funktion som listar innehållet i en katalog och denna funktion).


<b>* Kan man läsa innehållet i en php-sida? Alltså ladda hem den och inte få den att köras på servern.</b>

Det beror på hur webbservern är konfigurerad. Ibland har man en katalog includes med PHP-filer. Om denna katalog kan besökas och det inte är satt att filerna skall exekveras som PHP, kan filerna laddas hem "råa".


<b>* Om man sätter en cookies vid kontroll av inloggning och sedan kontrollerar innehållet i denna i början på varje php-sida, är detta en tillräcklig säkerhet? </b>

Det beror på innehållet i cookien. Det normala sättet vid inloggning är att man kör med sessioner. Då lagras en fil med data på servern och en cookie med sessionens ID på klienten. Detta är relativt säkert.


<b>* Kan man leta upp cookien på datorn och läsa innehållet?</b>

Ja. Hur lätt det är att läsa innehållet beror på vilken webbläsare man använder. I Firefox kan man via menyn gå in och kolla vilka kakor som är satta för en webbplats och vad de innehåller.


<b>* Kan man ändra innehållet i en cookie och på så sätt lura min php-sida?</b>

Ja.


Svara

Sv:Säkerhet

Postades av 2006-07-31 12:20:06 - Michael Dahlander

bra, då får man köra men sessioner, tack. /Michael


Svara

Sv: Säkerhet

Postades av 2006-11-12 00:28:13 - Jacob Rastad

Jag vet inte hur pass hög säkerhet som ditt sytem kräver men det du bör tänka på är att bara för att du använder sessions så är det fortfarande möjligt att ta sig in på siten. Det största problemet hos sessions är vad man kallar för session hijacking och är som det låter, någon kapar sessionen och servern tror då att den utomstående som kapade sessionen är den användare som loggade in.

Några saker som du kan tänka på för att göra det så säkert som möjligt är att:

I början på varje fil skriva

ini_set('session.use_only_cookies', TRUE);
ini_set('session.use_trans_sid', FALSE);
ini_set('session.cookie_lifetime', 1200);


ini_set('session.use_only_cookies', TRUE); och ini_set('session.use_trans_sid', FALSE); är till för att se till så det inte går att komma åt en session via url:n.
ini_set('session.cookie_lifetime', 1200); är till för att sätta en maxtid på 1200 sekunder (20 min) på hur länge en session får leva, detta för att se till så att om en användare stänger webläsaren så ska inte någon annan kunna komma åt den sessionen. Visserligen har dom ju 20 min på sig men tar du kortare tid så blir det jobbigt att använda systemet eftersom du efter 20 min inaktivitet måste logga in igen.

Du kan självklart ändra detta i php.ini också men om du inte har tillgång till den så går det bra att göra så här istället.

Men vill du vara riktigt säker så ska du använda dig utav Secure Sockets Layer (SSL) eftersom all data då kommer skickas krypterad och ifall någon annan lyssnar på trafiken så blir dom inte mycket klokare.

Om någon vill veta mer så kan jag verkligen rekommendera boken "Pro PHP Security" skriven av Chris Snyder och Michael Southwell, ISBN 1-59059-508-4.


Svara

Sv:Säkerhet

Postades av 2006-11-13 00:20:01 - Oskar Johansson

> Sannolikt inte (om det inte i applikationen finns någon funktion som listar innehållet i en katalog och denna funktion).


Observera att det inte krävs mycket för att google ska ha fått nys om urlen... Räcker med att någon vet urlen så vet alla den...


Svara

Nyligen

  • 19:38 Rekommendera något intressant
  • 19:13 Международная перевозка грузов
  • 00:01 DL Van Tuning | Exclusive Body Kit
  • 12:08 Indian casino
  • 04:14 Vad finns det för kratomalternativ
  • 14:16 Indian online casino
  • 14:15 Indian online casino
  • 08:28 Butiksskyltar: Hur upplever utbude

Sidor

  • Hem
  • Bli bonusmedlem
  • Läs artiklar
  • Chatta med andra
  • Sök och erbjud jobb
  • Kontakta oss
  • Studentlicenser
  • Skriv en artikel

Statistik

Antal besökare:
Antal medlemmar:
Antal inlägg:
Online:
På chatten:
4 570 868
27 965
271 770
1 005
0

Kontakta oss

Frågor runt konsultation, rådgivning, uppdrag, rekrytering, annonsering och övriga ärenden. Ring: 0730-88 22 24 | pelle@pellesoft.se

© 1986-2013 PelleSoft AB. Last Build 4.1.7169.18070 (2019-08-18 10:02:21) 4.0.30319.42000
  • Om
  • Kontakta
  • Regler
  • Cookies