Sign up for g-link newsletter here...Print?Tell a friend about this page...

27. juli 2007:

Ny g-link CMS sikkerhedsmodel




g-link strammer sikkerheden igen:
Med en ny sikkerhedsmodel reduceres mulighederne for spoofing
(spoofing vil sige, at man udgiver sig for en anden, end den man i virkeligheden er)

Den opdaterede sikkerhedsmodel - skematisk:                       Følg tallene 1 - 9 for at se hvordan et Admin login behandles i g-link CMS...
Den nye sikkerhedsmodel.
 

Ledsagende bemærkninger til figuren.

  • Det unikke tal (som er et stort tal) genereres ud fra serverens dato-tid. Dvs. at grundlaget for at danne det unikke tal er dynamisk.
  • Herefter gemmes det unikke tal i en sessionsvariabel i serverens sessions-objekt. Variablens navn er den IP-adresse, som kaldet er foretaget fra, dvs. klientens (Admins) browser.
  • Hvis ikke det næste kald kommer fra den samme IP, så vil variablen ikke hedde det samme, og variablen vil derfor få et nyt navn og tildeles en ny værdi.
  • Hvis den kaldende IP derimod er den samme, så vil serveren læse det medsendte unikke tal og sammenligne det med  unikke tal, som er gemt i serverens variabel. Hvis variablernes navn er det samme og tallene er identiske, vil serveren filtrere password-strengen og sammenligne det rensede (men stadig krypterede) password med det krypterede password, som er lagret i databasen.
  • Er de krypterede værdier identiske lukkes Admin ind, ellers sendes klienten tilbage til login-formularen og får tildelt et nyt unikt tal og må så prøve igen...

Trafikken mellem server og klient, dvs. de oplysninger, som udveksles gennem HTTP-headeren, ser efter den ændrede sikkerhedsmodel således ud (i uddrag [snip]):

 

admin_login.asp
POST /db/user/admin_login.asp HTTP/1.1
Host: www.g-link.dk
[snip]
Referer: admin_login_form.asp
Cookie: stem=1=x; th=shw; lang=da; ASPSESSIONIDSADRTBBQ=LHGBIGHDJFJBHNIKGIKAEOMB
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=at&password=10290525364fe01ce2a7fbac8fafaed7c982a04e229&B1=+L+o+g+++m+e+++o+n+%21+
HTTP/1.x 200 OK
Cache-Control: private
Date: Wed, 25 Jul 2007 14:57:02 GMT
Content-Length: 1231
Content-Type: text/html
Server: Microsoft-IIS/6.0
[snip]

 

Bemærk det 4 karakter lange password, "demo", som efter krypteringen og tilsætning af unikt tal end ikke ligner, det password, som oprindeligt er indtastet.

 

admin_login.asp
POST /db/user/admin_login.asp HTTP/1.1
Host: www.g-link.dk
[snip]
Referer: admin_login_form.asp
Cookie: stem=1=x; lang=da; th=shw; ASPSESSIONIDSADRTBBQ=OGLBIGHDJJEFNNPEFGLBJHPK
Content-Type: application/x-www-form-urlencoded
Content-Length: 91
username=at&password=25485681384fe01ce2a7fbac8fafaed7c982a04e229&B1=+L+o+g+++m+e+++o+n+%21+
HTTP/1.x 200 OK
Cache-Control: private
Date: Wed, 25 Jul 2007 16:19:39 GMT
Content-Length: 1231
Content-Type: text/html
Server: Microsoft-IIS/6.0
[snip]

 

Ved efterfølgende login genereres et nyt unikt tal, som sammenstilles med det samme krypterede password. Dette er med til at sikre, dels at det er den rigtige klient, som kalder siden, dels at password ikke sendes i  klar tekst, således at hvis password opsnappes (og efterfølgende genudsendes), vil det ikke kunne "låse" siden op, da variablenavnet (IP-adressen) ikke passer med det tildelte unikke tal.

Intet IT-system er sikrere end det svageste led, men hermed skulle endnu et af ledene i g-link CMS være forstærket!

Written by Anders



News ID: 29

Return to News Index...