On 13-Jul-2000, emir faisal wrote:
> Tapi mungkin perbedaannya, karena keterbatasan kemampuan saya,
> database password-user tidak akan dienkripsi(plaintext),
Bad idea. Minimal pake crypt().
Utk mengencode (bukan mengencrypt!) string "rahasia":
crypted_pass = crypt("rahasia",salt);
saltnya dirandom saja, lihat di 'man 3 crypt'.
Utk ngeceknya bukan dg cara didecode, tapi string yg diberikan user
dicrypt() lagi dg salt yg sama lalu dibandingkan dg yg ada:
saved_salt = dua karakter pertama dr encoded password yg disimpan;
encoded = crypt(yg_diketik_user, saved_salt);
if(strcmp(encoded, saved_encoded_pass) == 0)
/* password benar */
else
/* password salah */
> dan satu-satunya perlindungan yaa mode 600 itu !
> BTW, anda punya tips untuk meningkatkan security script saya ?
Mungkin ada cara lain, saya belum terpikir, tapi mungkin jauh lebih
kompleks. Skrg ini bisa saja kalo mau scriptnya disetuid root, asal
hati2, kalo nggak bisa kacau soalnya user biasa njalanin program dg
privileges root.
Ronny
--------------------------------------------------------------------------------
Utk berhenti langganan, kirim email ke [EMAIL PROTECTED]
Informasi arsip di http://www.linux.or.id/milis.php3
Pengelola dapat dihubungi lewat [EMAIL PROTECTED]
