simpel kryptering af querystring

Måske du kan bruge følgende, jeg fandt i et andet spørgsmål:


Function Krypter(Streng)
    for tal1 = 0 to len(Streng)
        for tal2 = 1 to len(krypt)
            kontrol = tal1*len(krypt) + tal2
            if kontrol <= len(Streng) then
                original = asc(mid(Streng,kontrol,1))
                ny = asc(mid(krypt,tal2,1))
                nytekst = nytekst + chrw(original + ny)
            end if
        next
    next
    Krypter = nytekst
End Function


Function Dekrypter(Streng)
    for tal1 = 0 to len(Streng)
        for tal2 = 1 to len(krypt)
            kontrol = tal1*len(krypt) + tal2
            if kontrol <= len(Streng) then
                original = ascw(mid(Streng,kontrol,1))
                ny = asc(mid(krypt,tal2,1))
                nytekst = nytekst + chrw(original - ny)
            end if
        next
    next
    Dekrypter = nytekst
End Function

http://www.4guysfromrolla.com/webtech/010100-1.shtml

Krypterer ifølge RC4-logaritmen .. og der ligger kildekode :)

Du kan så lave din querystring således:

Response.Redirect "dinside.asp?str=" & Server.URLencode(Krypter("Bla bla"))

- og aflæse den sådan:

Dekrypter(Request.Querystring("str"))

Du kan også lave en MD5-hash med javascript eller ASP. Jeg har et script, du kan få, hvis det har interesse.

<ole>

http://activedeveloper.dk/aspdigital/2003240401.asp

/mvh
</bole>

netro> Kan du ikke lige redegøre for, hvordan du vil "dekryptere" din MD5 hash?

(HINT: HASH funktionr er envejs!!!)

HINT 1: HASH er mange ting  *-\
HINT 2: Brug HMAC  ;o)

Andet link om (pseudo) 'kryptering':
  http://pajhome.org.uk/crypt/
... ikke mindst:
  http://pajhome.org.uk/crypt/md5/index.html
/mvh

Hey Ole!

Kan ikke lige se, hvad en HASH/MAC har med kryptering at gøre?

Hvis der skal laves noget sikkert kryptering, så er den eneste måde en public key til klienten (eller noget key exchange, ex. Diffie-Hellman) og javascript til at kryptere med.

Det viste eksempel omhandler authentication, hvor der kun tranmitteres en hash digest. Dette kan jo ikke benyttes i almindelighed.

JP

JP

Hov: Det var ikke lige dit eksempel jeg ref. til.

Jeg er helt med på, der ikke er tale om kryptering ... derfor skrev jeg også: (pseudo) 'kryptering'.

Måske, jeg ikke har forstået, hvad hopeless vil bruge det til(?)  :)
/mvh

jpvj -> Det bliver svært, eftersom det *ikke* kan lade sig gøre. Jeg glemte, at den originale streng skulle kunne genskabes igen, da jeg postede indlægget. Derfor må jeg fastholde mit første foreslag.

Enten skal det gøres "rigtigt" dvs. assymetrisk kryptering, eller også kan man brygge hvad man vil.

En rigtig quick'n-dirty ville ex. være ROT 13 ...

Måske hopeless skulle skulle starte med at "brygge" et indlæg...

Oooops .... nej, skal det genskabes, skal der bruges rigtig kryptering  :)
/mvh

Uha der er sket meget her!
Fra MD5-hash, RC4-logaritmen til HMAC og keyexchange. Og ikke mindst ROT 13.

Ok, jeg har ikke brug for en eller anden forkromet krypteringsalgoritme, jeg vil nu bare lave en helt simpel en selv til brug for at "skjule" mine querystrings for mine brugere!
En querystring som:
minside.asp?id=12&kid=22&mid=1102
ville jeg lave om til
minside.asp?3#d:5%%f23¤"gkd?1§23/& (=læs: noget ulæsligt tekst)

Så hver gang en af mine sider sender data via URL'n skal den SIMPEL krypter det, og den side som skal fange querystringen skal så dekrypter den.

Jeg havde bare forestillet mig en form for opslagsværk, som en ordbog, da jeg ved hvilke bogstaver,tal og tegn der vil komme i den querystring!

Netro: Dit første eksempel har jeg leget lidt med, men det virker ik helt.

Nej, du skal lige angive en krypteringsnøgle over de to funktioner også:

krypt = "valgfri streng"

Jeg tror jeg kan se hvad du vil - men hvorfor?

hmm.. jeg går ud fra at du har en form, hvor brugeren indtaster "søgeord", og bruger method="get", for at bruge querystring..

men, hvis "a" har en bestemt værdi "x;&dd", kan man teste hver enkelt bogstav for at få hele alfabetet.. med mindre du encryptorerer hele søge-sætningen, og så har du at a ikke er "x;&dd"..

men som ericjacobsen skrev, hvorfor vil du gøre det? hvad får du ud af det?

..er der en speciel grund til at du vil bruge request.querystring (urlen) i stedet for request.form (formen)?

Man kunne forestille sig, spørgeren vil forsøge at gøre det lidt mere bøvlet at 'malke' en database (?) - hvilket jo kan være en snild sag på mange sites (selvom det er ulovligt at gøre det).

Alm. ROT 13 er i den forbindelse en simpel mulighed - men meget let at omgå. Så er det bedre at bruge ROT 13 med et velblandet alfabet (og naturligvis det samme i hver ende).
/mvh

hvis du vil ha ordentligt sikkerhed på det så det ik kan "malkes" så er det jo bare at bruge session-id som password... vil gøre det ret besværligt i forbindelse med urlgrabbers...  problemet i det kommer så med... man kan ik deeplinke eller sende et link til en ven :)

Først og fremmest gør jeg dette af ren læring.
Desuden vil jeg godt gøre det mere besværlige at "malke" min databaser.
Med den simple kryptering, havde jeg forestillet mig at man nok reducerer "malke" forsøgene med 90% eller lign.


Jeg har ikke forestillet mig at der skulle bruges en nøgle til dette.

Og, jeg sender ikke værdier til URL'en via forms. (get/post), men via alm. querystrings, som bliver autogenereret på mine sider, afhængig af databaseindholdet.

Jeg bruger ikke usersessions, da denne site ikke har fordel af det. (Pånær til en kryptering måske)

Thesurfer:: Ja, det er rigtigt at folk kan finde hele alfabetet, hvis de lægger kræfter i, men det er ok, hvis de gider lægge det arbejde i det :)


Som jeg læser af dette i har skrevet, skal jeg måske kigge nærmere op ROT 13

Bemærk: Jeg bruger både deeplinking iform af søgemaskiner, og send side til ven.

Til dem som nu brokker sig over 2 brugernavne, er den simple årsag at mit stofanet er lukket pga. fraflytning, så jeg kunne ikke få mit password sendt til mig.
Ny email er: admin@wzarlon.dk
Når point i dette spm er givet, lukkes hopeless account.