25. september 2000 - 13:00Der er
11 kommentarer og 1 løsning
Ingen URL ved links
Ved links ønsker jeg ikke den bagvedliggende URL vist i browserens statuslinie. Det har jeg løst ved at tilføje: \"onmouseover=\"window.status=\'\'; return true\" onmouseout=\"window.status=\' \' på alle mine links. Nu har desværre konstateret, at hvis man blot holder mussetasten nede når man står på linket vises URL\'en alligevel i statuslinien lige så længe knappen holdes nede :-((
Er der nogen, der har et tip, til hvordan jeg kan undgå dette ?
ps, du kan aldrig skjule dine links, så hvorfor overhovedet prøve på det? Hvem du end tror ville misbruge den viden, vil kun blive mere opsat på at hente det fra kildekoden hvis du prøver på at skjule det.
<Jumper> Jeg ved godt, at det ikke er muligt, at sikre sig 100%, men jeg har gjort (og skal gøre) det vanskeligt for en \"almindelig\" bruger at se URL\'en. Løsningen skal anvendes i et intranet hvor siderne vises via en NOTES-applikation. P.t. er det lykkedes mig at \"lukke\" for View Source både via menuen,højremusetast samt \"højreklikstasten\". Jeg mener faktisk kun sourcen kan findes ved at kigge i cashen - og tro mig, det er der ikke mange i min organisation, der har fantasi/viden til (især da applikationen henvender sig til checfniveauet ;-)).
Per, måske skulle I overveje sikkerheden i jeres applikation én gang til, hvis I overfører så vigtige ting i URL\'en at det er nødvendigt at skjule denne... Har I overvejet at gemme de følsomme data på serveren istedet for på klienten? Brugernavn og password burde være mere end rigeligt at have på klienten til at identificere denne, resten bør være på serveren.
<Thor> Nu kender jeg intet til klient/server teknologien, men vores system er,kort fortalt bygget op således: Html siderne dannes dynamisk via (SAS)programmer, der afvikles på en central host. HTML-siderne gemmes i partionerede datasæt på denne host. Disse datasæt kan, via NOTES, læses i en browser (IE5.0). Problemet er, at datasætnavnet (og dermed URL\'en) er opbygget som en fast del + brugerid på den pågældende medarbejder. Det vil således være for let for en medarbejder at \"gætte\" sig til URL\'en til en kollega - han/hun behøver blot at udskifte sidste del af URL\'en (brugerid). Desværre kan vores centrale sikkerhedssystem kun håndtere adgangskontrol på datasætniveau - ikke på memberniveau, så hvis man har adgang på medarbejderniveau (ellers kan man ikke se sig selv) har man sikkerhedsmæssigt adgang til alle medarbejdere. Det jeg gerne vil opnå, er som sagt blot, at gøre det så besværligt som muligt for brugeren at \"gætte\" URL\'en til en kollega.
Per, kort fortalt har I brug for et nyt centralt sikkerhedssystem ;)
Vi må gemme denne debat til en anden gang, men husk blot at I kun får en falsk sikkerhed ved at prøve at skjule de følsomme data når de allerede er kommet ud på klienten. IE5 husker bl.a. også de links du har været inde på, så hvis en medarbejder begynder at skrive URL\'en manuelt, vil han få vist alle links han tidligere har været inde på der matcher..
<Thor> I bund og grund har du fuldstændig ret - men indtil vi får et sikkerhedssystem, der kan håndtere problematikken, må vi \"leve med\", at gøre det så svært som muligt at se URL\'en.
<ghostface> Tak for hjælpen - jeg havde faktisk opgivet, så du har reddet min dag ;-))
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
