[ LUGOS ] CGI prijava
Metod Kozelj
metod.kozelj na rzs-hm.si
Tor Apr 21 14:30:36 CEST 1998
Howdy!
On Tue, 21 Apr 1998, Simon Zekar (Zeky) wrote:
> Zanima me, kako bi napisal CGI skripto, ki bi iz vnosnega polja v HTML-ju
> pobrala username in password in ga primerjala z /etc/passwd na isti
> masini, kjer stoji WWW server. Ce bi se username in password skladal s
> sistemskim, bi CGI pognal en parser, ta parser bi naredil HTML stran, CGI
> skripta pa naj bi jo posredovala uporabniku.
Skrajno nevarno je posiljati gesla preko interneta nekodirana. In POST
metoda posilja vso vsebino nekodirano. Ce ne uporabljas POST metode, pac
pa das username in geslo v URL, je to se slabse (saj postaneta del URL-ja,
ki se vidi v browserju, poleg tega pa se lahko shrani se na kaksnih
proxy-jih).
Ce ze posiljas kaksna gesla preko interneta, naj bodo razlicna od
uporabniskih gesel na pravih sistemih. Ali pa naj bo uporabnost taksnih
uporabniskih acctov nicna.
Ce ze moras: kar cgi skripta dobi s POST metodo, dobi na stdin. Ce bos
hotel primerjat geslo z onim v /etc/passwd, potem bos moral uporabit
crypt().
Najbrz je boljsa moznost uporabit preverjanje gesel, ki jo nudi sam WWW
streznik. Recimo Apache. Ce hoces do neke strani, potem streznik od
browserja zahteva geslo, ta pa ga dobi od uporabnika. Ampak geslo gre
preko interneta se vedno nekodirano.
Peace!
Mkx
Dodatne informacije o seznamu Starilist