MacMinds - great minds think different

Navigatie

Zoeken

Inloggegevens

Je bent niet ingelogd.


  • Forum
  •  » Web
  •  » 'Web Work in progress' draadje

#51 29-05-2007 23:31

HSL
Beheerder
@ Amsterdam
Geregistreerd: 30-07-2006
Website

Re: 'Web Work in progress' draadje

freshface schreef:

Je kan je paswoord zelf als md5 in je db zetten.
En bij het inloggen het paswoord in het invulveld omzetten naar md5 en deze vergelijken met het pasw uit de db dat aan die user gekoppeld is.

Maar md5 zelf is geen encryptie, dat is alleen een fingerprint, en dan
kan ik net zo goed het password in plain text in de db zetten volgens mij.
Wat wel heel veel mensen doen is en het password encrypten, en een md5
fingerprint eraangeven, maar de logica daarvan ontgaat mij een beetje.

Offline

 

#52 29-05-2007 23:43

Andreas Creten
Pro
@ Leuven, Belgie
Geregistreerd: 18-09-2006
Website

Re: 'Web Work in progress' draadje

Door gebruik te maken van MD5 is het veel moeilijker om het paswoord te achterhalen.
Wanneer iemand de inhoud van je database te pakken krijgt kan hij hier niets mee doen omdat het wachtwoord onleesbaar is. Voor de meeste applicaties is dit meer als genoeg.

Offline

 

#53 29-05-2007 23:59

HSL
Beheerder
@ Amsterdam
Geregistreerd: 30-07-2006
Website

Re: 'Web Work in progress' draadje

maar als iemand de inhoud van mijn db te pakken krijgt dan heb je de md5 key,
die kan je in principe ook gebruiken om in te loggen toch? het enige voordeel is
dat je niet mijn favoriete wachtwoord hebt.

is het ook zo dat crypt() helemaal niet handig is hier? want als ik crypt met een
salt gebruik dan krijg ik er iedere keer een andere key uit.

ik dacht er namelijk aan om en crypt en md5 te gebruiken (better safe than sorry)
maar dat is dus helemaal niet handig.

smile

Offline

 

#54 30-05-2007 00:01

freshface
Pro
@ Belgie, Sinaai/Gent
Geregistreerd: 17-08-2006
Website

Re: 'Web Work in progress' draadje

Met die md5 key kan je niet inloggen hoor. Want je kan die key niet decrypten.
Je moet namenlijk het originele paswoord hebben om naar md5 om te zetten en deze te vergelijken in de db.

Offline

 

#55 30-05-2007 09:25

NotWar
@ Rotterdam
Geregistreerd: 18-09-2006
Website

Re: 'Web Work in progress' draadje

md5 kan je wel gebruiken om in te loggen, niet direct maar door bijvoorbeeld deze website http://www.md5encryption.com/ ... dan heeft de hacker zelfs je favoriete wachtwoord.

Offline

 

#56 02-06-2007 09:18

HSL
Beheerder
@ Amsterdam
Geregistreerd: 30-07-2006
Website

Re: 'Web Work in progress' draadje

mhmm,.. is er niemand die hier iets zinnigs over kan zeggen of zou een apart topic beter zijn?

Offline

 

#57 02-06-2007 10:59

Max
Pro
@ Nederland
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

HSL schreef:

mhmm,.. is er niemand die hier iets zinnigs over kan zeggen of zou een apart topic beter zijn?

Op het moment dat je met behulp van JavaScript het ingevulde wachtwoord encrypt met MD5 voor het formulier verzonden wordt, log je dus in met letterlijk een gebruikersnaam en md5 hash. Maar gezien dit bijna nooit gedaan wordt, kun je er wel van uit gaan dat ze met behulp van alleen een MD5 hash niet kunnen inloggen. Maar dit is geheel afhankelijk van je ge-programmeer.

Wil je een voorbeeld van slecht programmeren? phpBB, ondertussen is het volgens mij al opgelost, ik gebruik het niet en hou het niet in de gaten, maar vroeger bestond hun autologin cookie uit simpelweg een userid en wachtwoord in een geserializede array. Heb je een lijst met MD5 hashes en user id's? Inloggen maar! Natuurlijk had phpBB een nog dommere fout met autologin die meer betrekking heeft tot het loosetyped zijn van PHP (als je het wachtwoord verving met de boolean true, kwam er de vergelijking if( string == true ) wat natuurlijk ook true oplevert, en dus ben je dan ingelogd).

Anyway, op het moment dat je weet dat iemand de database gejat heeft zorg gewoon dat alle users een nieuw wachtwoord krijgen. Natuurlijk zit je dan nog met collisions, oftewel een MD5 string is niet altijd uniek en als je achterhaalt wat dezelfde MD5 string oplevert (het klinkt makkelijker dan het is hoor) kun je dat proberen om in te loggen.

Maar denk eens na, als iemand je database al te pakken heeft, wat zou er dan nog in vredesnaam zijn waarvoor hij wilt inloggen? Hij heeft tenslotte alles al, en als je een beetje rekening houdt met normalisatie bij het ontwerpen van je database is het niet zo lastig uit te lezen voor zo iemand.

Als iemand echt wilt (en kan) komt hij wel binnen, al is het via een omweg. Betreffende je crypt vraag, nee je hoort geen random string terug te krijgen als je een salt opgeeft. Als je geen salt op geeft wel omdat hij dan zelf de salt verzint.

Code:

computernaam:~ max$ php -r 'print crypt( md5('test') , "test" ) . "\r\n";'
teAtU.fiU6g1.
computernaam:~ max$ php -r 'print crypt( md5('test') , "test" ) . "\r\n";'
teAtU.fiU6g1.
computernaam:~ max$ php -r 'print crypt( md5('test') , "test" ) . "\r\n";'
teAtU.fiU6g1.

Offline

 

#58 02-06-2007 11:08

HSL
Beheerder
@ Amsterdam
Geregistreerd: 30-07-2006
Website

Re: 'Web Work in progress' draadje

ok dat is al een stuk duidelijker, en jouw voorbeeld van crypt en md5 is de beste manier
om het op te lossen?

Offline

 

#59 02-06-2007 11:23

Max
Pro
@ Nederland
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

HSL schreef:

ok dat is al een stuk duidelijker, en jouw voorbeeld van crypt en md5 is de beste manier
om het op te lossen?

Wat is 'de beste manier', dat is niet te beantwoorden. Mijn crypt voorbeeld was gewoon om je te laten zien dat je hetzelfde terugkrijgt met crypt en niet iets randoms. Oftewel, als reactie op dit:

HSL schreef:

is het ook zo dat crypt() helemaal niet handig is hier? want als ik crypt met een
salt gebruik dan krijg ik er iedere keer een andere key uit.

De vraag is hoe ver wil je gaan met beveiliging, hoe belangrijk is de applicatie? Een forum zoals dit (no offense wink) is veel minder belangrijk dan de back-end van een e-Commerce applicatie van een multinational bedrijf. Misschien willen die mensen wel om de week of maand een nieuw wachtwoord voor alle gebruikers, hoe krijgen ze die? Een lijst met wachtwoorden en cijfers zodat je tijdens het inloggen weet welk wachtwoord je moet gebruiken? Per SMS een nieuw wachtwoord welke willekeurig gegenereerd wordt?

Is het beter met crypt? Misschien wel, als je het goed toepast, als je een lijst met MD5 wachtwoorden hebt kun je die vaak brute forcen, opzoeken in een rainbow table, of gewoon opzoeken in een database vol met md5 hashes. Op het moment dat je crypt eroverheen doet met een eigen (moeilijke..) salt is het al een stuk lastiger. De beste manier? Ik zou het niet weten, is het meer dan voldoende? Afhankelijk van je applicatie zoals ik al zei, maar in de meeste gevallen wel.

Laatst bewerkt door Max (02-06-2007 11:24)

Offline

 

#60 02-06-2007 12:30

HSL
Beheerder
@ Amsterdam
Geregistreerd: 30-07-2006
Website

Re: 'Web Work in progress' draadje

Ja dat is inderdaad logisch, bij mij gaat het om het facturen systeem waar ik het in het begin van dit draadje over had. Dat is wel dermate belangrijk dat het goed dicht moet staan (het komt uiteindelijk
ook op https) eerst had ik het met clear text en nu met md5, vanmiddag toch maar ombouwen met crypt.

Wat me wel opviel aan crypt is dat hij de eerste 2 tekens van de salt standaard als eerste 2 tekens van de key gebruikt, nu had ik ergens gehoord/gelezen dat een salt in principe uit 2 tekens moet bestaan en dat meer geen zin heeft, maar aan jouw uitleg te zien lijkt dat anders te zijn.

Offline

 

#61 02-06-2007 12:40

Max
Pro
@ Nederland
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

HSL schreef:

Wat me wel opviel aan crypt is dat hij de eerste 2 tekens van de salt standaard als eerste 2 tekens van de key gebruikt, nu had ik ergens gehoord/gelezen dat een salt in principe uit 2 tekens moet bestaan en dat meer geen zin heeft, maar aan jouw uitleg te zien lijkt dat anders te zijn.

Dat is afhankelijk van welke encryptie je gebruikt, zie ook Example 2357 op php.net.

If no salt is provided, PHP will auto-generate a standard two character salt by default, unless the default encryption type on the system is MD5, in which case a random MD5-compatible salt is generated. PHP sets a constant named CRYPT_SALT_LENGTH which tells you whether a regular two character salt applies to your system or the longer twelve character salt is applicable.

CRYPT_STD_DES - Standard DES-based encryption with a two character salt
CRYPT_EXT_DES - Extended DES-based encryption with a nine character salt
CRYPT_MD5 - MD5 encryption with a twelve character salt starting with $1$
CRYPT_BLOWFISH - Blowfish encryption with a sixteen character salt starting with $2$ or $2a$

Offline

 

#62 09-06-2007 00:41

HansenOFFLine
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

beetje kil met alleen wit en blauw/grijs, wat meer kleur kan geen kwaad samen met wat foto's.

Offline

 

#63 09-06-2007 01:27

LMR
@ Limburg (BE)
Geregistreerd: 06-06-2007

Re: 'Web Work in progress' draadje

Als je mijn mening vraagt mag voor een schilderbedrijf inderdaad wat meer kleur gebruikt worden. smile


Lmr (<- kan hem niet in caps zetten!)

Offline

 

#64 09-06-2007 10:46

MacBeer
Ex-Crew
@ Limbabwe
Geregistreerd: 04-08-2006

Re: 'Web Work in progress' draadje

De site heeft absoluut geen uitstraling. Kil en saai zijn woorden die in mij opkomen.
De animatie in de banner werkt mij op de lachspieren, en dan bedoel ik dat niet op een echt positieve manier. De animatie hoort daar in feite niet thuis. Het voegt niets toe behalve dat het de boel wat opleukt. En als je dit soort dingen moet doen om de boel enigzins interessant te maken dan schort er iets in de basis.

Helaas, als ik je klant was geweest had ik dit voorstel resoluut van tafel geveegd en wellicht zelfs een andere vormgever gezocht. Ik neem aan dat de klant het ontwerp heeft goedgekeurd omdat je al bezig bent met de puntjes op de 'i'.
Het grafische ontwerp is gewoon ver onder de maat als je het mij vraagt.


Computers are to design as microwaves are to cooking. Milton Glaser

Offline

 

#65 09-06-2007 18:02

hietahh
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

Is er een post verwijderd?

Offline

 

#66 09-06-2007 18:06

MacBeer
Ex-Crew
@ Limbabwe
Geregistreerd: 04-08-2006

Re: 'Web Work in progress' draadje

Hey... verrek ja. Ik ga hier even achteraan wassat


Computers are to design as microwaves are to cooking. Milton Glaser

Offline

 

#67 13-06-2007 10:07

Ramses
Geregistreerd: 22-05-2007
Website

Re: 'Web Work in progress' draadje

he allemaal.
Ik heb gister de opdracht gekregen een pagina te maken waarop je een land en taal kan uitkiezen en daarna wordt doorverwezen naar de goede website.
Ik heb daarna gekozen om dit met javascript te doen. Het werkt allemaal goed in firefox.
Nu komt het probleem alleen in firefox blijkt dit te werken. Kan iemand mij hier mee helpen?

Linkje naar pagina:
link

Let maar niet op hoe het eruit ziet, ik heb als stagiar niks te zeggen over hoe het eruit komt te zien.

Laatst bewerkt door Ramses (13-06-2007 10:11)

Offline

 

#68 13-06-2007 10:48

flabber
@ Spijkenisse
Geregistreerd: 15-12-2006
Website

Re: 'Web Work in progress' draadje

Wat werkt er niet dan? Bij mij (10.4.9 laatste versie van Safari) werkt het prima.
Tenminste, ik wordt niet doorverwezen naar de website zelf, maar ik kan wel
prima de juiste keuzemenuutjes invullen e.d smile


- iMac Core Duo 24" - 3.06Ghz - 4GB ram - 750GB HD - 8800GS
- Apple TV 160Gb / iPhone 3G

Offline

 

#69 13-06-2007 11:16

Ramses
Geregistreerd: 22-05-2007
Website

Re: 'Web Work in progress' draadje

Als je de site in firefox bezoekt en bijv belgië als land kiest, dan zie je bij talen Nederlands, Engels, Duits en frans. Als je daarna bijv het land benin uitkiest zie je alleen maar Engels.
Dit werkt niet in safari en IE die laten alle talen zien die mogelijk zijn.
Het filteren van de talen per land werkt dus niet. neutral

Ik heb even een voorbeeldje gemaakt:
http://www.monkey-boy.nl/dev/home/vb.png

Laatst bewerkt door Ramses (13-06-2007 11:19)

Offline

 

#70 13-06-2007 12:18

HansenOFFLine
Geregistreerd: 18-09-2006

Re: 'Web Work in progress' draadje

ben een beetje roestig met form, maar er mist een action in je eerste form tag en wat gebeurd er als je fieldsets gebruikt ipv lists?

Offline

 

#71 13-06-2007 13:17

Ramses
Geregistreerd: 22-05-2007
Website

Re: 'Web Work in progress' draadje

ik heb nog geen actie geplaatst omdat ik het php scriptje erachter nog moet afmaken.
Ik denk eerlijk gezegt dat het probleem in mijn javascript zit. Alleen waar is de vraag smile

Offline

 

#72 13-06-2007 17:15

ennA iL
@ Leeuwarden
Geregistreerd: 11-06-2007

Re: 'Web Work in progress' draadje

http://www.monkey-boy.nl/dev/home/images/welcome.png

ik vind de tekst onduidelijk in het licht groene!

Laatst bewerkt door ennA iL (13-06-2007 17:16)


“Your time is limited, so don’t waste it living someone else’s life. Don’t let the noise of other’s opinions drown out your own inner voice.” - Steve Jobs

Offline

 

#73 13-06-2007 17:18

Jenneke
Hoofdredactie
@ 020
Geregistreerd: 04-08-2006
Website

Re: 'Web Work in progress' draadje

En 'willkommen' is met dubbel L.


Ja, dat dus.
••••

Offline

 

#74 13-06-2007 20:44

Ramses
Geregistreerd: 22-05-2007
Website

Re: 'Web Work in progress' draadje

Het bedrijf waarbij ik stage loop, heeft mij aangenomen om een website voor ze te bouwen.
ik ben zelf niet blij met het design, ook niet van de andere pagina's.
Na 5 maanden stage te lopen bij dit bedrijf, is de website nog steeds niet af.
Dit komt omdat ik niks te zeggen heb over het design of de werking van de pagina's.
Voorbeeldje
Het tekst op het groene, is niet in een duidelijkere kleur omdat er anders verwarring zou komen met het huisstijl. Ook vinden ze dit vrouwelijker en speelser wat bij hun doelgroep past.
Voor elk kleurtje die je daar ziet heb ik 5 tinten moeten uitprinten op papier en elk op een andere achtergrond kleur, zodat mijn baas er een aantal kon uitkiezen. Dit duurde 1 werkweek voordat hij het wist.
Advies geven over de website heb ik dus opgegeven en doe maar wat zij zeggen en willen (nog 2 weken te gaan).

Maarja iemand nog een idee over waarom het fout gaat in Safari en IE? Ik gebruik dus een javascriptje om de list te filteren per land. Voorbeeldje als je het land belgie kiest mag je alleen de talen Frans, Nederlands, Duits en Engels zien.

Laatst bewerkt door Ramses (14-06-2007 10:38)

Offline

 

#75 14-06-2007 10:45

Ramses
Geregistreerd: 22-05-2007
Website

Re: 'Web Work in progress' draadje

Ik heb het probleem gevonden. woot
Ik gebruikte javascript om de verschillende options in mijn select een display: none; te geven. Blijkbaar accepteren niet alle browsers css styling op form elementen.
Nu voeg ik gewoon direct een option toe aan mijn select via javascript.

Link
http://www.monkey-boy.nl/dev/home/

Je krijgt dus per land de beschikbare talen te zien.
voorbeeld "belgium".

Offline

 
  • Forum
  •  » Web
  •  » 'Web Work in progress' draadje

Forum voettekst

MacMinds v 1.05 Powered by PunBB