Mangler Test af Sikkerhed.

hej,

Nogen der vil hjælpe med at teste en "host" IKKE færdig side?
har lavet et administrator system. Det skal jo være sikkert.

www.rhwp.frac.dk

frac bruger jeg bare som midlertidig server indtil jeg køber et domæne.

Ved godt du siger siden ikke er færdig, man har et par kommentarer alligevel:

Det ser ud til at være et CMS system du er i gang med. Men hvad er ideen med et CMS, hvor man alligevel skal skrive HTML, når man skriver sider? Det ser nemlig ud som om at du har lagt dig fast på at man skal det.

Det andet jeg vil sige er jeg mere usikker på om det bare er fordi du ikke har lavet det endnu, men det ser lidt forvirrende ud at du har 4 ens forms under hinanden, der hver fylder så meget.

Tag det ikke som kritik, det er bare forslag.

Skal nu nok li siges at det sikkeste er at bruge .htaccess
ihvert fald efter min erfaring


Http://www.gamedev.net That is a very good site, to learn all about game programming

Skal nu nok li siges at det sikkeste er at bruge .htaccess
ihvert fald efter min erfaring


Http://www.gamedev.net That is a very good site, to learn all about game programming

Hvad? .htaccess har ikke noget med login at gøre, hvis det er det du hentyder til. Men ud over det er jeg ikke enig i at Apaches mod_auth er bedre end et script i PHP, hvis scriptet da bare er lavet ordentligt. Desuden kan man vidst kun bruge http authentication med mod_auth, og ikke en html form med cookies osv, og personligt synes jeg ikke det er kønt med login-boksen som en dialogboks.

Og til spørgsmålet: det er svært at vurdere systemets sikkerhed uden kildekode.

Skal nu nok li siges at det sikkeste er at bruge .htaccess
ihvert fald efter min erfaring


Http://www.gamedev.net That is a very good site, to learn all about game programming

Hvad? .htaccess har ikke noget med login at gøre, hvis det er det du hentyder til. Men ud over det er jeg ikke enig i at Apaches mod_auth er bedre end et script i PHP, hvis scriptet da bare er lavet ordentligt. Desuden kan man vidst kun bruge http authentication med mod_auth, og ikke en html form med cookies osv, og personligt synes jeg ikke det er kønt med login-boksen som en dialogboks.

Og til spørgsmålet: det er svært at vurdere systemets sikkerhed uden kildekode.

Man kan godt styre login krav fra .htaccess, så lidt kan det vel godt have med login at gøre.

Man kan godt styre login krav fra .htaccess, så lidt kan det vel godt have med login at gøre.

Jo, men bare fordi man kan lave loginsystem i PHP, vil jeg ikke sige at PHP er et loginsystem. Det samme gælder for Apaches konfigurationsfiler, men der er mange der kun forbinder disse filer med login, og det er vel egentligt forkert?

Man kan godt styre login krav fra .htaccess, så lidt kan det vel godt have med login at gøre.

Jo, men bare fordi man kan lave loginsystem i PHP, vil jeg ikke sige at PHP er et loginsystem. Det samme gælder for Apaches konfigurationsfiler, men der er mange der kun forbinder disse filer med login, og det er vel egentligt forkert?

Jeg har ikke lavet et login med PHP endnu, og bruger derfor stadig .htaccess
Er lidt i tvivl om hvor sikkert det egentligt er? Ved godt at intet er 100 %, men hvor sikkert er det egentligt?
Anders!

Man kan godt styre login krav fra .htaccess, så lidt kan det vel godt have med login at gøre.

Jo, men bare fordi man kan lave loginsystem i PHP, vil jeg ikke sige at PHP er et loginsystem. Det samme gælder for Apaches konfigurationsfiler, men der er mange der kun forbinder disse filer med login, og det er vel egentligt forkert?

Kik lidt på navnet ... .htaccess ... access.
Måske er det primært til at styre .. access ?

Jeg ved ikke hvorfor de hedder hvad de hedder, men:

"In general, you should never use .htaccess files unless you don't have access to the main server configuration file. There is, for example, a prevailing misconception that user authentication should always be done in .htaccess files. This is simply not the case. You can put user authentication configurations in the main server configuration, and this is, in fact, the preferred way to do things."

fra http://httpd.apache.org/docs/1.3/howto/htaccess.html#when

Jeg ved ikke hvorfor de hedder hvad de hedder, men:

"In general, you should never use .htaccess files unless you don't have access to the main server configuration file. There is, for example, a prevailing misconception that user authentication should always be done in .htaccess files. This is simply not the case. You can put user authentication configurations in the main server configuration, and this is, in fact, the preferred way to do things."

fra http://httpd.apache.org/docs/1.3/howto/htaccess.html#when

Med andre ord, brugen af htaccess bør undgås.
Fortæller IKKE at det ikke er access man hovedsageligt bruger den til, når man bruger den.

Og : Hvor mange har hosting hvor de kan rette i httpd.conf ?

Jeg læser det som de skriver på apache.org som "Generelt: Hvis du kan, brug httpd.conf, det er den bedste måde at gøre det på. Nogle tror at de SKAL putte rettighedsstyringen i htaccess, men det er man ikke tvunget til at gøre."

Altså. htaccess er primært til .. access, også selv om det er bedre at bruge httpd.conf, som der ikke er mange som har deres site hosted billigt som har mulighed for.