Säkerhet/Webbutveckling: Stjäla källkod från PHP/ASP/JSP

Förord
Denna artikel handlar om ett sätt att få tag på källkoden för ett serverbaserat skript som exempelvis PHP, ASP (även .NET) och JSP med flera. Observera dock att det inte går på alla servrar och skript. Det hela går ut på att utvecklaren inte tänker igenom sin uppladdning och redigering av skripten tillräckligt.

Introduktion
Jag har för mig att jag har läst om detta någonstans på Internet i en artikel om just säkerhet vid webbutveckling och nu upptäckte jag det själv av en slump och lite nyfikenhet. Det går att visa källkoden för serverbaserade skript som t.ex PHP, ASP och JSP på några olika sätt och ett av dem tänker jag beskriva lite för er om nu i denna artikeln.

Server Operativsystem
Min testserver Apache2 kör på Ubuntu 8.10 med PHP 5.2.6 och säkerhetsbristen kan fungera även på andra system men det har jag inte prövat. Som textredigerare för skripten använder jag programmet gedit, men i vanliga fall använder jag Zend Studio.

Vad är säkerhetsbristen?
Bristen går ut på att vissa textredigerare sparar en säkerhetskopia av skripten innan de sparas. I Ubuntu 8.10 Intrepid använder jag gedit för teständamål och utan att jag tänkte på det så skapade programmet säkerhetskopior av mina php-skript och placerade dem i samma katalog. Det är ju bra att det gör det automatiskt men ur säkerhetssynvinkel är det dåligt.

Varje säkerhetskopia får suffixet "~" (se exempel 1)

Exempel 1:
index.php redigeras och sparas vilket även skapar filen index.php~

Om man sedan råkar kopiera alla filerna (även inkluderat säkerhetskopiorna) till sin produktionsserver så har man en ganska stor säkerhetsbrist. Detta händer ibland och det räcker med att utvecklaren inte tänker på det och glömmer det en gång. Då sparas en extra kopia med källkoden som kan laddas ned istället för att tolkas av PHP interpretatorn hos Apache.

Laga säkerhetshålet
I programmet gedit som jag använder kan man välja att ställa in så att inga säkerhetskopior skapas före man sparas sina dokument (i vårt fall skript).

gedit > Edit > Preferences > Editor

Ta bort markeringen för "Create a backup copy of files before saving". Se bild 1.

(Klicka på bilden för att förstora) Bild1
Ta bort markeringen för att inte spara några kopior av filerna du redigerar.

Observera att du inte få glömma att radera eventuella säkerhetskopior som redan har sparats vid ett eller flera tidigare tillfällen.

Resultat av säkerhetshål

(Klicka på bilden för att förstora) Bild 2
Skriptet som körs är http://localhost/phpinfo.php


(Klicka på bilden för att förstora) Bild 3
Om man istället går till URL http://localhost/phpinfo.php~ visas källkoden för phpinfo.php från en säkerhetskopia.

Analys
Allt går ut på att utvecklaren är klantig och missar att det även finns gamla säkerhetskopior av skripten i den publika webbkatalogen som är tillgänglig för alla besökare. Om någon besökare är illvillig så kan det hända att han eller hon prövar att lägga till tecknet tilde "~" efter ett filnamn.

Hacket har störst chans att lyckas om det underliggande operativsystemet för servern är någon typ/variant av Linux/Unix (*nix) eller om utvecklaren sitter och programmerar i en sådan miljö lokalt på sin dator (server kan då vara t.ex IIS) och sedan laddar upp alla filer (alla skript inklusive säkerhetskopior) till den publika servern.

Det behöver inte vara "~" (vanligen kallas det för temporär i *nix) som läggs bakom utan även ".bak" som står för backup som är vanligt i Windowssystem.

Slutord
Var försiktiga och tänk noga på att det kan finnas en kopia av din kod som går att ladda ner. Man behöver endast gissa sig till filens filändelse (suffix).

I denna artikeln beskrev jag hur man på ett sätt kunde få tag på källkoden för ett serverbaserat webbskript (t.ex PHP, ASP, JSP, ...) genom att ladda ner publika säkerhetskopior från webbservern.

Windows XP: Service Pack 3

Microsoft har äntligen släppt Service Pack 3 (SP3) till Windows XP och det är underbart. Äntligen slipper man ladda ner alla 100+ uppdateringar från WindowsUpdate när man har installerat om sitt system. Nu behöver jag bara använda totalt tre skivor för att få en ren och "säker" (säkerheten är väligt relativ i XP och jag tror fortfarande att det finns många buggar kvar) Windows XP miljö.

Det finns även några förbättringar i SP3 som det går att läsa om i ett dokument på Microsofts webbsida [1]. En av dem är en funktion vid namn Network Access Protection (NAP) som får XP att fungera bättre ihop med Windows Server 2008 via nätverk med ökad säkerhet.

För er som vill "slipstreama" SP3 till en gammal Windows XP skiva så finns det en bra guide skriven av Paul Thurrott på engelska [2].

En inofficiell källa säger att han eller hon har haft problem med SP3 med stor inkompatabilitet av programvara [3]. Sidan är cachad hos Google och kan vara försvunnen vid tillfället du läser detta.

Själv har jag tänkt att installera SP3 idag, just nu faktiskt, och jag var mycket noggrann med att först skapa en återställningspunkt i datorn och säkerhetskopiera katalogen Mina dokument till en säker förvaringsplats ifall något fel skulle inträffa.

Ladda ner SP3 [4].

Tillägg 12/5-08
Jag har installerat SP3 nu under veckan som varit och har redan upptäckt en stor nackdel. Min dator har blivit lite segare när den öppnar vissa program och när jag använder webbläsaren Mozilla Firefox. Ett annat irriterat problem var att jag var tvungen att installera om Winamp för att fixa alla musik-filtyper. Alla mina MP3 låtar kunde bara öppnas via "det dåliga" Windows Media Player. Microsoft Office 2007 har även det blivit mycket segare med att öppna dokument. Detta kanske löser sig om jag installerar om det men det orkar jag inte göra nu innan alla tentorna är färdiga på skolan.

Källor
[1] Overview of Windows XP Service Pack 3
[2] Slipstreaming Windows XP
[3] SP3 Review after usage
[4] Windows XP Service Pack 3
[4] Windows XP Service Pack 3 (eng) - windowsupdate.com
[4] Windows XP Service Pack 3 (sv) - windowsupdate.com

Säkerhet: Falsk antispyware programvara

Förord
Är du en person som inte kan så mycket om datorer och är rädd att du ska få virus och så kallad spyware? Använder du webbläsaren Internet Explorer? Litar du på popup-fönster som dyker upp när du surfar som exempelvis lockar med ett erbjudande att söka igenom din dator efter virus och liknande och sedan ge dig möjlighet att ladda ner ett anti-virus-spyware skydd gratis? Om du har svarat Ja på några av dessa frågor så ligger du rätt så risigt till.

Introduktion
Det finns tusentals "skadliga" webbsidor ute på Internet och många av dem verkar riktiga och försöker lura i er ett falskt förtroende för att ni ska ladda ner programvara som ni tror kommer fixa i ordning er dator men som i själva verket förstör ännu mer och infekterar systemet allt djupare.

Verkligt scenario
När du surfar runt på olika webbsidor så kanske du någon gång har stött på ett meddelande som säger att din dator löper stor risk att vara utsatt för ett av många säkerhetshot. Om du då väljer att tro på detta och fortsätter till företagets webbsida så brukar man mötas av falsk programvara. Du tror att den ger ett skydd men i verkligheten är den det verkliga hotet.

Detta scenario är tyvärr mycket vanligt på Internet och det är väldigt många personer som lockas att ladda ner "skum" programvara som ger falsk trygghet. Här nedanför har jag tänkt att försöka publicera/svartlista en lista på webbsidor och företag som försöker att lura dig som dator användare.

(Än så länge är listan kort men jag ska försöka få den att växa när jag får tillgång till mer information. Ni får gärna själva tipsa om fula sajter som publicerar falsk programvara inom säkerhet i en kommentar till artikeln för att upplysa alla eventuella läsare)

Svartlistade säkerhetsföretag som ger ut falsk programvara

Webbadress	Vad de lockar med	Säkerhetshot
antivirusforalla.com	Spyware rensare	Virus Spyware
antivirusforalle.com	- " -	- " -
antivirusforall.com	- " -	- " -
antivirusgenial.com	- " -	- " -
antivirusfueralle.com	- " -	- " -

Härom dagen råkade en väninna till min mamma ut för ett bluff företag som lockade med att skydda hennes dator mot spyware men istället fylldes hennes dator spyware, reklam och porrsidor. Det räckte med att hon surfande till google.se för att allt skulle sättas igång. Jag rensade då alla temporära- och internet filer på datorn samt att jag sökte igenom datorn med Ad-Aware 2007 men endast fyra hot hittades. Det kom fortfarande upp massa reklam och porrsidor efter att jag tagit bort dem och fastslog att det fanns något som hade dolt sig djupare in i systemet. Då fixade jag fram Eset Nod32 Antivirus och fann uppemot 10-15 virus och spyware som sedan kunde isoleras och tas bort.

Jävla bluff företag
Här är två bilder med adresser som endast är till för att lura er.

Klicka på en bild för att förstora den


Om ni ser en bild som liknar denna så gå absolut inte på det.
Denna bild visas först när ni har fått ett virus eller spyware på datorn


Tips
Att tänka på när ni söker igenom er dator efter eventuella säkerhetshot: Använd alltid flera säkerhetsprogram för att finna så många hot som möjligt. Det är inte säkert att alla program finner alla hot, så därför kan det vara bra att kombinera sin arsenal av säkerhetsprogramvara. Självklart ska ni endast använda programvara som rekommenderas av experter, tidningar, grundliga diskussioner i forum, nyhetssidor och bloggar med trovärdigt innehåll.

Och tills sist: Om ni använder webbläsaren Internet Explorer så rekommenderar jag starkt att ni byter mot t.ex Mozilla Firefox, Opera, Safari eller annan webbläsare med bättre säkerhet och rykte än Microsofts egna.

Så tills vidare - surfa säkert!

Intressanta länkar
McAfee Site Advisor - antivirusforalla
New scam sites - Blog skapad av Bharath

Säkerhet: Kontrollera hårddiskarna

Förord
Säkerhet är viktigt i ett IT-system och då ska man inte glömma hårddisken som kan krascha och ställa till problem så att data blir korrupt och kanske till och med försvinner för gott. Här får ni ett litet tips för hur ni möjligen kan förhindra att detta händer just er.

Introduktion
Det finns en program som heter Hard Disk Sentinel som kan kontrollera och undersöka kvalitet och livslängd på många olika sorters hårddiskar. Det kan användas för att t.ex kontrollera en begagnad dator innan betalning, om hårddiskarna i datorn mår bra och om de behöver bytas ut eller inte. Utöver detta ingår lite mer avancerade funktioner och lägen som kan visa ännu mer information än vad som egentligen är nödvändigt.

Funktion
Hard Disk Sentinel fungerar för IDE, Seriell ATA (S-ATA, e-SATA), SCSI, USB och annan extern hårdvara som nämns på programmets webbsida [1].

"Det är bättre att undvika en hårddisk krasch än att försöka återskapa data på en redan kraschad hårddisk" ~ hdsentinel.com

Programmet finns i en betalversion och en gratis version. Jag har inte testat betalversionen men gratisversionen vet jag kan köras via DOS (t.ex FreeDOS Project [2]). På webbsidan finns länkar som låter er skapa en CD-skiva som kan startas upp automatiskt när man startar sin dator; en såkallad boot-skiva, och till och med filer för att kopiera till en diskett eller ett USB-minne.

Programmet undersöker S.M.A.R.T för valda hårddiskar och mycket annat. Jag rekommenderar starkt att ni testar programmet om ni har en hårddisk med viktiga data som ej får gå förlorade.

Slutsats
Efter den här lilla artikeln hoppas jag att ni har förbättrat er säkerhet lite mer än förut. Nu kan ni i lugn och ro beställa en ny hårddisk och säkerhetskopiera alla data innan det är för sent. Detta kan liknas vi en attack mot ett IT-system där data tas bort och/eller skickas till konkurrenter eller för egen vinning av onda hackers (alla hackers är inte onda så den egentliga benämningen är väl crackers) - kort sammanfattat: dataförlust vilket, i dagens läge, är ett mycket viktigt samtalsämne på många företag runt om i världen.

Källor
[1] http://www.hdsentinel.com
[2] http://www.freedos.org

Säkerhet: Eset NOD32 Antivirus

Jag vill tipsa er om ett jättebra antivirus program som heter Eset NOD32 Antivirus. Det är bra för att jag har inte märkt att datorn har blivit segare - ett symptom som många antivirus program brukar bidra med efter installation - och det stoppar verkligen virus redan innan de laddas ner till systemet. Det går även att konfigurera det mesta och alla inställningar kan skyddas med ett lösenord.

Det var enkelt att installera och det skyddar mot nästan allt som finns redan som en standardinstallation. En extra bra funktion är att det även söker igenom ADS på NTFS formaterade hårddiskar. Detta tar bort många virus som försöker dölja sig. För er som inte vet vad ADS är kan jag tala om att det är en akronym för Alternate Data Streams som används i Windows på NTFS diskar. Där döljs information om vanliga filer som används av systemet. Problemet är att man även kan "gömma" program eller filer i en ADS och utan att det märks. För att läsa mer om ADS kan ni Googla.

Det släpps nya uppdateringar av virusdefinitionerna flera gånger dagligen och allt loggas så att man kan gå tillbaks och se historiken över attacker med mera. En annan positiv egenskap är att det är ett antivirusprogram av två i världen som har fått en utmärkelse för något liknande som Advanced Certificate+ (kommer inte riktigt ihåg vad). Det är i alla fall en bekräftelse på att programmet stödjer alla krav för ett avancerat antivirusprogram som verkligen gör sitt jobb.

Så skippa Norton Antivirus/Security som slukar minne och systemresurser och fixa NOD32. Då kanske man får färre som gnäller över virus i datorn. Det är åtminstone min åsikt.

Företaget Eset som skapat NOD32 Antivirus har även en brandvägg som jag ännu inte har prövat men som låter lovande om man läser några forum och diskussioner inom området. Det finns ett paket som innehåller Antivirus, Brandvägg och Antispam funktioner vid namn Eset Smart Security. Det kostar 540kr per år - 45kr per månad - för en en dator och det tycker jag låter helt okej.

En konkurrent som jag egentligen inte rekommenderar men som kan vara bra för konsumenter som inte kan så mycket och som verkligen vill se hur antivirusskyddet fungerar och vilka inställningar man kan göra borde se lite på Nortons senaste produktuppdatering. Det är Norton 360 sviten som har uppgraderats till version 2.0 och det sägs att den har blivit mer resurssnål än tidigare och att en hel del förbättringar har gjorts med gränssnittet. Priset? 899kr för tre datorer, troligen under ett års period med detta är inte verifierat.

Här får ni några tips om var det finns flest virus
Givetvis finns det inte virus på alla ställen jag nämner här men det är de vanligaste platserna

• I program som ändrar temat i Windows (freeware/shareware).
• Fildelningsprogram.
• Eftertraktade cracks och patchar för spel och program brukar vara virus. Lyssna aldrig på vad de säger i kommentarerna om att det till exempel kommer en varning om en trojan men att varningen är falsk. Alla cracks innehåller inte virus/trojaner men väldigt många.
• Program som säger säg göra det enklare för folk att tjäna pengar (t.ex. annonsering på webben).
• På sidor med så kallade Warez.
• I filmer man laddar ner. Om ni är några av de som laddar ner film och kommer i kontakt med en film som bara visar en text om att den bara kan spelas upp med ett speciellt program så ska ni akta er noga. Programmet ni laddar ner innehåller till 99% en trojan. Fungerar det inte med VLC spelaren så är det troligen fejkat.
• Porrsidor.
• I många så kallade Freeware program som är gratis att ladda ner och använda.

Detta är bara några platser där virus och trojaner frodas.

Lycka till med att skapa en säker digital värld som stoppar illasinnade crackers och blackhats. Det kan ni behöva!

Källa:
www.eset.com
Google
och även av egen erfarenhet förstås.

AJAX: Är ajax säkert

Förord
Jag har inte läst på så mycket om AJAX säkerhet men det jag tänker berätta är den mest grundläggande säkerheten som de flesta glömmer bort när de utvecklar en ajax-tjänst.

Introduktion
Detta är min första lilla artikel om säkerheten i AJAX. Det är mycket grundläggande och är till för många av er där ute som inte är så insatta i detta. Personligen har jag själv inte hunnit utveckla så mycket med AJAX men när jag skapade en enkel dynamisk CMS (Content Management System) tjänst lärde jag mig hur jag skulle implementera simpla säkerhetsåtgärder.

Att tänka på
För det första måste ni veta vad AJAX egentligen är och hur det fungerar. Jag kommer inte gå igenom alla detaljer, utom endast det nödvändigaste. AJAX står för Asynchronous Javascript And XML är är ett sätt för en webbsida att kontakta en webbserver i bakgrunden (dolda anrop/request) utan att det märks för besökaren. Webbsidan har t.ex ett Javascript som anropar webbservern och begär information om de senaste inloggade personerna. Webbservern kör PHP och använder MySQL för att hämta informationen som efterfrågas av AJAX. Koden kanske är utvecklad så att den bara visar användare som har samma behörighet för webbsidan som den aktuella besökaren har. Därför skickas besökarens ID med i AJAX anropet och klistras in i SQL-frågan som skickas till databasen med PHP. Sedan skickar PHP ett svar (response) tillbaka med de 10 senaste inloggade användarna på webbsidan. Utvecklaren som har programmerat ihop allt detta tror att koden är säker eftersom det är dolt för användaren så därför har inga säkerhetskontroller implementerats.

Observera att detta bara är ett testscenario!

Hur kan man knäcka detta system
Man kan knäcka systemet enkelt genom att modifiera sitt användar ID med ett enkelt Javascript. Man kan då skicka med "skadlig" kod som sedan klistras in i SQL-frågan tillsammans med användar ID:t och göra en så kallad SQL Injection.

Utvecklaren får sedan ett epostmeddelande från en säkerhetsexpert som har analyserat hans/hennes AJAX tjänst och talar om vilka brister som finns. Utvecklaren tänker inte mer på det utan försöker istället dölja Javascript koden som används i AJAX anropet. Det kan t.ex vara kod som innehåller värden och parametrar som sedan skickas till en specifik adress med GET eller POST.

Utvecklaren tror då att man kan använda webbläsarens referer-värde för att kontrollera att koden kommer från rätt plats. Men detta kan också modifieras av en illasinnad besökare. Istället blir han/hon kontaktad av en person som säger att AJAX fungerar precis som en vanlig besökare som surfar på webbsidan men att det istället görs automatiskt med diverse kommandon som skrivs av utvecklaren. Detta betyder att det inte spelar någon roll (i nuläget) om man använder AJAX eller inte för att göra anrop till webbservern, som annars skulle ha skett med t.ex formulär, klick, knappar, länkar etc.

Säkra tjänsten
För att säkra en AJAX-tjänst måste man även implementera säkerhetskontroller på serversidan. Om man t.ex använder MySQL och PHP kan man säkra SQL-frågan med en funktion som heter mysql_real_escape_string(). Sedan kan man även skapa HASH (Message-Digest) kontroller på datan som skickas och sedan se efter om datan har modifierats.

En annan viktig sak är att endast tillåta tal och siffror om det är det som förväntas - och inget annat.

Sammanfattning
Okej! Så om ni använder AJAX måste ni även se till att ni gör samma säkerhetskontroller som förut, innan ni började använda AJAX för att skicka/ta emot data. Helst görs detta på serversidan men man kan även försöka dölja och kryptera Javascriptet på webbsidan som anropar webbservern så att det är svårare för illasinnade besökare att tyda och förstå kodens logik och funktion. Säkra alltid alla data som skickas till servern.

Säkerhet: DRM-skyddade ljudfiler

Introduktion
Vad är DRM?
DRM står för "Digital Rights Management" och är ett sätt för industrin att skydda musik så att man inte kan kopiera musiken till andra enheter för vidare piratkopiering och distribution.

Om ni någonsin har köpt en låt eller skiva från Internet för direkt nerladdning har ni mycket troligt laddat ner DRM-skyddade musikfiler till 95%. Tycker ni det är jobbigt att det inte går att spela låtarna på er MP3? Läs då vidare.

Omvandla DRM-skyddad låt till icke-DRM-skyddad låt
Tricket är mycket enkelt att genomföra och det räcker att ni har en vanlig dator och låten som ni vill ovandla på hårddisken. Om datorn har ett ljudkort kan processen utföras. Det går till så att man spelar upp låten som är skyddad och samtidigt spelar in musiken via ljudkortet till en musikfil som är helt ren från skyddet. Sedan går det att applicera olika omkodare som kodar om formatet från till exempel WAV till MP3 eller liknande.

Vilka program kan användas?
TotalRecorder är ett alternativ jag använder för att spela in musik från gratis radiostationer på Internet. Det kan spela in direkt från ljudkortet och direkt från ett program (Windows Media Player, Winamp, iTunes etc) etc. Sedan finns det ett annat program som har uppmärksammats på några diskussionsforum på Internet. Det programmet heter Tunebite och sägs är effektivt. Själv har jag aldrig testat att ta bort ett DRM-skydd från en låt så jag kan inte garantera att det ska fungera, men principen är funktionell. Och det förstår ju vem som helst att det finns program som spelar in ljud från enskilda program eller ljudkortet i en dator. Logiskt! Om det inte skulle fungera kan man ju alltid klaga och säga att det inte kommer något ljud från högtalarna eller att ljudkortet är trasigt eftersom datorn då inte vet hur den ska spela upp och skicka ljudet till "lyssnaren".

Vad säger lagen?
Rätt och slätt - att det är förbjudet att knäcka eller ta bort skydd från upphovsrättsskyddat material och liknande. Det är alltså upp till er själva att utvärdera huruvida ni vill ta bort skyddet eller inte.

Så här långt...
Denna mycket kortfattade guide lämpar sig alltså för privat bruk och för de som vill lära sig mer om DRM och dess svagheter. Jag kan alltså inte hållas ansvarig om ni följer guiden och om det händer något.

Källor
www.wikipedia.org - Sökning DRM
Remove DRM from WMV - Ta bort skydd från DRM-skyddat material (speciella)

PHP Säkerhet 001: Introduktion

Hej på er igen! Den här gången har jag valt att skriva om säkerhet i PHP. Jag kommer dock inte skriva om all säkerhet i ett enda inlägg utan kommer inrikta mig på en viss del inom säkerheten i varje inlägg.

Varje inlägg kommer innehålla information om en särskild säkerhetspunkt i PHP och kommer även innehålla antingen kod eller beskrivning i textform om hur man täpper igen säkerhetshålet. Titlarna kommer se ut som följande:

• PHP Säkerhet ID: Titel

Säkerheten i PHP jag kommer skriva om behandlar mest information som rör webbdesign och serverbaserad skriptprogrammering. Det kan även finnas fall då applikationer skrivna i PHP-Gtk (version 2 eller högre) kan applicera samma motåtgärder som för PHP i serverbaserad form. Om det går kommer jag troligtvis skriva en notis när det även går för PHP-Gtk.

För er som vill följa inläggen om PHP Säkerhet kan man använda sökverktyget eller listan med etiketterna här på bloggen.

Innan ni applicerar motåtgärder på era PHP-skript tycker jag personligen att ni också kan söka efter information på Google som en extra referens om jag skulle ha missat nån väsentlig del i koden eller texten. Givetvis kontrollerar jag att mina källor är korrekta, men det kan alltid smita in fel här och där. Skriv också gärna en kommentar om ni har förslag eller ändringar på texten, bra eller dåligt etc.

Då fattas bara att jag får önska er en trevlig läsning och att ni finner artiklarna väl informativa.

Alternativ till cacls

Hej! I en tidigare artikel skrev jag om behörigheter i Windows NT familjen (speciellt Windows XP Home edition) och ett litet program vid namn cacls.exe. I denna artikeln ska jag skriva om ett alternativ till just programmet cacls.exe.

Just precis när jag idag skulle skapa ett program med PHP-Gtk2 som ett alternativ till cacls.exe hittade jag ett tillägg som Microsoft hade gjort till sitt NT 4 (tror det var det). Tillägget heter Security Configuration Manager och gör att man får en extra flik Säkerhet när man går in på Egenskaper för en fil eller mapp. Det fungerar bara på NTFS filsystemet och alltså inte FAT som fortfarande är ganska vanligt. Kontrollera ert filsystem genom att gå till Den här datorn, högerklicka sedan på en hårddisk/partition (c: är vanligast) och välj Egenskaper. Vid texten Filsystem står det vad ni har.

Här kan ni ladda ner verktyget / tillägget (högerklicka och välj Öppna i ny flik eller Öppna i nytt fönster så kan ni hänga med i artikeln hur man gör.)

Gör följande för att lägga till fliken Säkerhet i Windows XP Home:

1. Läs helst först readme-filen (readme.txt) som ni hittar om man följer länken.
2. Skapa en Windows återställningspunkt innan ni fortsätter för att försäkra er att det går att fixa om något går fel. Öppna Hjälp- och Supportcenter i Windows och sök efter Systemåterställning eller klicka på länken Använd Systemåterställning för att ångra ändringar som gjorts på datorn.
3. När det är klart kan ni ladda ner filen SCESP4I.EXE som ni finner under readme-filen på sidan.
4. När nerladdningen är klar dubbelklickar ni på filen och packar upp innehållet i en temporär mapp (exempelvis C:\sce_temp).
5. Gå till mappen där ni packade upp filerna och högerklicka på filen Setup.inf (setup information).
6. Klicka på Installera
7. Det är viktigt att ni gör punkt 6!
8. När installationen är klar så kan ni starta om datorn.
9. Logga in på datorn igen och gå till den hårddisk/partition som har filsystemet NTFS.
10. Högerklicka på en fil eller mapp
11. Välj Egenskaper
12. Nu ska ni se att en ny flik - Säkerhet har kommit fram.
13. Nu är det klart!

Exempel på hur det kan se ut



Jag har testat det på min Windows XP Home edition installation och det fungerar, men jag kan inte garantera att det fungerar för er. Gör det inte det kan ni återställa datorn till en tidigare tidpunkt med Systemåterställaren.


Mycket viktig information
När man ändrar behörighet på en mapp/fil/hårddisk kan man även låsa ute administratören från den/dem. Behörigheten Neka går alltid före behörigheten Tillåta, oavsett den grupp ni är medlem i. Kom ihåg att administratörer är med i gruppen Användare som standard. När ni sätter behörigheter så kryssa bort Tillåt (eng. Allow) hellre än att kryssa i Neka (eng. Deny)


Källor
www.google.se
www.dougknox.com/xp/tips/xp_home_sectab.htm

Extra
Här finns readme-filen och tillägget packat i RAR format för nerladdning