:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community)
Mooie Heisenbug als dat het heeft opgelost:
[...]
Wat is een excoption?
/u/373849/cowava2.png?f=community)
Mijn typkunst...:
[...]
Wat is een excoption?
Typo, sorry
Wat mij trouwens ineens opvalt... zelfs comments eindig ik met een ;
En na even checken... zie ik dat bijna overal in mijn code terugkomen.. en ook in mijn gewone tekstverwerk-acties op een aantal plekken... WTF!
Ben allang blij dat het niet een copy-paste van de live site was nu... Ben ik net thuis, blijkt die hele site al een halve dag plat te liggen:
[...]
Mooie Heisenbug als dat het heeft opgelost
Nee, op de site zelf staat de typo er gelukkig niet.
[ Voor 65% gewijzigd door Firesphere op 25-04-2012 18:35 ]
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
:strip_exif()/u/240696/Darth%2520Stewie.gif?f=community)
Jammer dat case zonder expliciete jump-operator niet mag in C#.
Moet je dus alsnog goto gebruiken, de kosmologische constante van de programmeertalen.
/u/155722/Looneytunes.png?f=community)
Flash is not dead yet? Lets kill it with taxes.:
[...]
Alleen voor webgames. Het geld niet voor AIR based applicaties
:strip_icc():strip_exif()/u/300196/jj2.jpg?f=community)
De "as"-operator returned een null als de waarde niet gecast kan worden, gaat dus zelfs goed als de sessionvariabele iets anders is dan de bedoelde uitkomst.
Vooraf checken op null is dus volledig overbodig.
De hele routine had in 1 simpele property geschreven kunnen worden:
C#:
1
2
3
4
5
| public SearchFilterCompany SearchFilter { get { return HttpContext.Current.Session[SessionKeySearchFilter] as SearchFilterCompany; } set { HttpContext.Current.Session[SessionKeySearchFilter] = value; } } |
De class wordt iedere keer opnieuw geinstantieerd en het is een reference. Dus daar zal het net goed gaan...
Die viel me inderdaad pas later op en daar heb ik ook al meerdere (op andere plekken) van opgeruimd....
[ Voor 27% gewijzigd door HeSitated op 25-04-2012 20:50 ]
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
C#:
1
2
3
4
5
6
7
8
9
10
11
12
13
| public SearchFilterCompany SearchFilter { get { if(HttpContext.Current.Session[SessionKeySearchFilter] == null) { HttpContext.Current.Session[SessionKeySearchFilter] = new SearchFilterCompany(); } return HttpContext.Current.Session[SessionKeySearchFilter] as SearchFilterCompany; } set { HttpContext.Current.Session[SessionKeySearchFilter] = value; } } |
Zo moet hij volgens mij
We are shaping the future
:strip_icc():strip_exif()/u/104670/66407.jpg?f=community)
Jullie gaan alleen allemaal voorbij aan het feit dat Session zélf ook null kan zijn (tijdens Application_Start) 
Kater? Eerst water, de rest komt later
:strip_icc():strip_exif()/u/104956/epica_got.jpg?f=community)
:strip_icc():strip_exif()/u/206968/325134.jpg?f=community)
Hmm, ik had er -12 besteld, maar de iDeal-pagina geeft aan dat -198 euro een ongeldig bedrag is
If money talks then I'm a mime
If time is money then I'm out of time
/u/146516/boulder.png?f=community)
Haha leuk. Helaas is dit niet echt uit te buiten omdat er gelijk een iDeal aan gekoppeld is. Tenzij je natuurlijk meer dan 12 wilt .
Hoe zorgen jullie er trouwens voor dat die negatieve optie mogelijk is? Ik heb het net geprobeerd door in Chrome met de dev tool een <option /> aan die dropdown toe te voegen met de console, en die daarna geselecteerd. Kan het ook nog anders?
.Hoe zorgen jullie er trouwens voor dat die negatieve optie mogelijk is? Ik heb het net geprobeerd door in Chrome met de dev tool een <option /> aan die dropdown toe te voegen met de console, en die daarna geselecteerd. Kan het ook nog anders?
:strip_exif()/u/34748/ferrari_avatar.gif?f=community){kind=avatar}
[quote]:
Dit zie ik ook wel eens voorbij komen:
[code=c#]
private string _testProperty = string.Empty;
public string TestProperty
{
get { return _testProperty; }
set
{
if (_testProperty != value)
{
_testProperty = value;
}
}
}
[/code]
Het gaat dus om de check of de oude waarde niet toevallig hetzelfde is als de nieuwe waarde, waar is dat nou voor nodig?
Kijk, als je een property hebt die PropertyChanged afvuurt, dan snap ik het.
[/quote]
In het voorbeeld wat je daar geeft zal het niet zoveel uitmaken. Als er in de setter nog een NotifyPropertyChanged aangeroepen word kan het wel handig zijn. Je wilt geen change events triggeren als er niks veranderd is
Voortaan beter lezen
Dit zie ik ook wel eens voorbij komen:
[code=c#]
private string _testProperty = string.Empty;
public string TestProperty
{
get { return _testProperty; }
set
{
if (_testProperty != value)
{
_testProperty = value;
}
}
}
[/code]
Het gaat dus om de check of de oude waarde niet toevallig hetzelfde is als de nieuwe waarde, waar is dat nou voor nodig?
Kijk, als je een property hebt die PropertyChanged afvuurt, dan snap ik het.
[/quote]
In het voorbeeld wat je daar geeft zal het niet zoveel uitmaken. Als er in de setter nog een NotifyPropertyChanged aangeroepen word kan het wel handig zijn. Je wilt geen change events triggeren als er niks veranderd is
Voortaan beter lezen
Xbox
Even the dark has a silver lining | I'm all you can imagine times infinity, times three
:strip_icc():strip_exif()/u/180657/texacoiq2.jpg?f=community)
Gewoon van een van de bestaande items de value veranderen. Je hoeft niks toe te voegen.:
Haha leuk. Helaas is dit niet echt uit te buiten omdat er gelijk een iDeal aan gekoppeld is. Tenzij je natuurlijk meer dan 12 wilt
Hoe zorgen jullie er trouwens voor dat die negatieve optie mogelijk is? Ik heb het net geprobeerd door in Chrome met de dev tool een <option /> aan die dropdown toe te voegen met de console, en die daarna geselecteerd. Kan het ook nog anders?
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
Ja dat zegt ie toch zelf al in die post?:
[...]
In het voorbeeld wat je daar geeft zal het niet zoveel uitmaken. Als er in de setter nog een NotifyPropertyChanged aangeroepen word kan het wel handig zijn. Je wilt geen change events triggeren als er niks veranderd is
[ Voor 9% gewijzigd door .oisyn op 29-04-2012 17:13 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Oh shoot, helemaal gemist:
[...]
Ja dat zegt ie toch zelf al in die post?
[...]
Xbox
Even the dark has a silver lining | I'm all you can imagine times infinity, times three
Er zit een hidden <select /> op de pagina die als boodschappenmandje fungeert.
We are shaping the future
Ohja, nu zie ik het ook, maar als ik zelf met firebug de selects aanpas, worden ze niet meer meegenomen in de post naar de proces-pagina.:
Er zit een hidden <select /> op de pagina die als boodschappenmandje fungeert.
Edit; Chrome doet het wel goed. Alleen krijg ik als ik (bijvoorbeeld)
HTML:
1
2
3
4
5
| <select id="product_list" class="scProductSelect" multiple="multiple" style="display:none;" name="product_list[]"> <option id="scoption0" rel="ADMIN" "="" value="ADMIN|1">administratiekosten</option> <option id="scoption1" value="v_1269767|1" rel="v_1269767">NS dagkaart</option> <option id="scoption2" value="v_1269767|-1" rel="v_1269767">NS dagkaart</option> </select> |
Doe, dan krijg ik alleen 1 kaartje te zien / te koop.
[ Voor 43% gewijzigd door Matis op 30-04-2012 20:26 ]
If money talks then I'm a mime
If time is money then I'm out of time
:strip_icc():strip_exif()/u/190884/dug.jpg?f=community)
Nee hoor, het kan zijn dat het mailtje al is opgesteld voordat het wachtwoord versleuteld wordt en wordt opgeslagen. Zelfde principe heb ik ook in diverse tools moeten bouwen, dan wil men een wachtwoord naar een gebruiker sturen (als het account door iemand anders dan de gebruiker wordt aangemaakt), tja dan moet je wel het wachtwoord voor het versleutelen in de mail zetten
Dus wat je in de mail zet is niet per definitie wat je in je db zet. Uiteraard is het dan nog niet helemaal veilig (het "geheim" staat namelijk ergens als plain-text opgeslagen, namelijk in iemands mailbox en heeft diverse stations gepasseerd waar men het zou kunnen zien), maar daar zijn dan weer trucjes als "user must change password on first logon" voor uitgevonden Daarnaast zijn er ook genoeg encrypties die 2-way werken. Die je encrypted wachtwoord dus ook weer kunnen decrypten.
Ik begin me meestal pas zorgen te maken als de forgot password functie mijn oude wachtwoord teruggeeft, dan moet men een reversible encryptie gebruiken of de boel niet versleuteld opslaan. Mijn voorkeur ligt bij hashes in plaats van omkeerbare encrypties. Mocht ooit een db gejat worden samen met de sleutels om te decrypten kunnen ze snel je wachtwoord raden. Bij een one-way hash wordt het wat lastiger
Dus wanneer de forgot password mijn oude pw terug weet te geven begin ik me achter mijn oren te krabben.Ik verbaas me er niet meer over als ik een site zie waar het lijkt alsof de passwords als plain-tekst worden opgeslagen. Ik dacht dat je aan redelijk wat regels was gebonden als je profielen bijhield (zeker als er bank/cc gegevens bij zitten), maar of de regels zijn te zacht of men heeft geen boodschap aan regels. Dat is de reden waarom ik voor dat soort sites andere wachtwoorden gebruik dan voor "belangrijke" doelen. Leuk als men een webshop account open weet te maken, ze mogen gerust iets bestellen, ze zullen alleen wel hun eigen iDeal transactie moeten doen
daarna mag het product gewoon bij mij thuis worden afgeleverd
The #1 programmer excuse for legitimately slacking off: "My code's compiling"
Firesphere: Sommige mensen verdienen gewoon een High Five. In the Face. With a chair.
"Je wachtwoord is gewijzigd! Er is een bevestigingsmail verzonden met daarin je nieuwe wachtwoord":
[...]
maar daar zijn dan weer trucjes als "user must change password on first logon" voor uitgevonden
:strip_exif()/u/11775/SoulTaker.gif?f=community)
:strip_exif()/u/73955/foxavatar-60.gif?f=community){kind=avatar}
:strip_exif()/u/261638/Happy2.gif?f=community)
:strip_icc():strip_exif()/u/86654/krat_toren.jpg?f=community)
Eentje van mezelf hoor, het is vrijdagmiddag zeker.
Prima, toch? Dan gaan we 'm initializeren:
En maar niet snappen waar de rode lijn onder Bar.Baz = -1 vandaan komt. Eh, misschien zit je nog vóór de constructor van Foo, waardoor Bar gegarandeerd nog niet geïnitialiseerd is, waardoor je niet direct properties kunt aanspreken?
Natuurlijk.
C#:
1
2
3
4
5
6
7
8
9
10
| class Foo { public Bar Bar { get; set; } public String FooString { get; set; } } class Bar { public int Baz { get; set; } } |
Prima, toch? Dan gaan we 'm initializeren:
C#:
1
2
3
4
5
| var foo = new Foo { FooString = "Qux", Bar.Baz = -1 }; |
En maar niet snappen waar de rode lijn onder Bar.Baz = -1 vandaan komt. Eh, misschien zit je nog vóór de constructor van Foo, waardoor Bar gegarandeerd nog niet geïnitialiseerd is, waardoor je niet direct properties kunt aanspreken?
C#:
1
| Bar = new Bar { Baz = -1 } |
Natuurlijk.
https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...
/u/147751/avatar455992_1.gif.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/59957/got-icon.jpg?f=community){kind=icon}
Na 16:30 mag je ook niet meer programmeren op vrijdag. Je kent de regels toch.:
Eentje van mezelf hoor, het is vrijdagmiddag zeker.
C#:
Prima, toch? Dan gaan we 'm initializeren:
C#:
En maar niet snappen waar de rode lijn onder Bar.Baz = -1 vandaan komt. Eh, misschien zit je nog vóór de constructor van Foo, waardoor Bar gegarandeerd nog niet geïnitialiseerd is, waardoor je niet direct properties kunt aanspreken?
C#:
Natuurlijk.
Zeker waar, maar ben het wel met TJHeuvel eens dat dat geen reden is om alle leken op dit vlak idioten te noemen.
[ Voor 21% gewijzigd door Michali op 04-05-2012 21:44 ]
:strip_icc():strip_exif()/u/40565/cow.jpg?f=community)
:strip_exif()/u/294184/20150204_SITE_GIF_VALKUIL-resized.gif?f=community)
Simpel:
Typ oud wachtwoord in:
Typ nieuw wachtwoord in:
Herhaal nieuw ww:
Dan controleer je of het oude overeenkomt met de hash, en kijk je of het nieuw genoeg afwijkt van het oude
:strip_exif()/u/69716/disgaea2_thief.gif?f=community)
:
[...]
Simpel:
Typ oud wachtwoord in:
Typ nieuw wachtwoord in:
Herhaal nieuw ww:
Dan controleer je of het oude overeenkomt met de hash, en kijk je of het nieuw genoeg afwijkt van het oude
Als je je wachtwoord maar 1 letter wijzigt gaat je hash niet "een beetje" aangepast zijn, je krijgt een compleet andere hash.
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.' - Pratchett.
Ik geloof dat er hier een misverstand is? Tuurlijk dat een hash volledig veranderd bij het wijzigen van 1 letter...:
[...]
Als je je wachtwoord maar 1 letter wijzigt gaat je hash niet "een beetje" aangepast zijn, je krijgt een compleet andere hash.
Als je huidige wacthwoord gehast opgeslagen is, hoe weet je dan dat een ingevoerd wachtwoord correct is? Juist, je neemt het ingevoerde, hasht het en vergelijkt de hashes. In je applicatie heb je op dat moment dus ook tegelijkertijd de ongehashte versie. Daar kun je dan tegen vergelijken voor het nieuwe wachtwoord
Dat kan inderdaad, maar dat is heel vervelend als de eis is dat (zoals Ragnax zei) het wachtwoord verschilt van alle laatste Y wachtwoorden. (Of je moet de gebruiker z'n laatste Y wachtwoorden laten intypen, wat natuurlijk praktisch ondoenlijk is.):
Simpel:
Typ oud wachtwoord in:
Typ nieuw wachtwoord in:
Herhaal nieuw ww:
Dan controleer je of het oude overeenkomt met de hash, en kijk je of het nieuw genoeg afwijkt van het oude
Je kan niet volstaan met alleen checken tegen het oude wachtwoorden want dan kun je steeds tussen twee basiswachtwoorden wisselen: "appel1", "appel2" mag niet, "banaan2", "appel3", "banaan4", et cetera.
[ Voor 7% gewijzigd door Soultaker op 05-05-2012 15:41 ]
Ik ging er inderdaad maar vanuit met het vorige wachtwoord, niet met alle vorige
In dit geval kun je bijna niet anders dan een symmetrische versleuteling gebruiken, of ... plaintext -_-
Banken en verzekeraars en daar omheen hangende software hebben deze eis. Dus: elke 3 maanden een nieuw wachtwoord, mag niet eerder gebruikt zijn, moet minimaal 10 karakters zijn, hoofletters, kleine letters, cijfers en een leesteken bevatten. En hoe denken die idioten dat een gebruiker dat gaat onthouden
Juist die schrijft het op een papiertje of slaat het ergens anders op waar hij wel bij kan....Ja als een wachtwoord uitlekt is het altijd de schuld van de gebruiker 
Waarom dan niet gewoon een digitaal paspoort gebruiken???
/u/313216/crop679f937b7f4c1_cropped.png?f=community)
Verwijderd
Met een beetje algoritme kun je het nieuwe wachtwoord wel testen op de oude hashes. Elk teken een paar bitjes up en down en vergelijken maar. Zo moeilijk is het niet hoor.:
[...]
Als je je wachtwoord maar 1 letter wijzigt gaat je hash niet "een beetje" aangepast zijn, je krijgt een compleet andere hash.
Dus ik blijf bij mijn stelling: ook voor "nieuw wachtwoord mag niet eerder gebruikt zijn" en "moet minimaal X afwijken" heb je geen plaintext nodig.
[ Voor 14% gewijzigd door Verwijderd op 05-05-2012 21:22 ]
:strip_icc():strip_exif()/u/89806/avatar_spockz.jpg?f=community){kind=avatar}
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
/u/286895/icon1.png?f=community)
Van meerdere keren hashen wordt het er niet beter op. Stel dat je voor elke waarde die je er in stopt, slechts 98% (willekeurige waarde) als mogelijke uitvoer kan krijgen. Met een instelling van 17566.5 rondjes (bij een 512 bit hash) zit iedereen mogelijk met dezelfde hash, en kan iedereen met elk willekeurig wachtwoord gewoon inloggen.
Ik kwam laatst de volgende referentie tegen. Met name het een-na-laatste commentaar. Nu kan ik het niet beoordelen, maar ik denk dat je brute-forcen ook niet te klein moet inschatten.
/Edit: @hieronder: Interessant, erg leerzaam. Bedankt hiervoor.
[ Voor 3% gewijzigd door Feanathiel op 08-05-2012 17:39 ]
Ik kwam laatst ook nog error 28 tegen bij een klant van mij omdat zijn HDD vol was gelopen met MySQL queries (als in 1 groot bestand van 60GB).
[ Voor 4% gewijzigd door Manuel op 07-05-2012 08:40 ]
FPGA's zijn fantastische stukjes techniek. Wij baseren onze video-analyse en conversie-apparatuur ook op FPGA's. Nog een stukje rapper en groter dan de gene beschreven in het artikel.
Wat ik overigens doe om (in PHP) de wachtwoorden op te slaan:
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| private function validate_password($password) { $salt = substr($this->hashed_password, 0, 64); $hash = substr($this->hashed_password, 64, 64); $password_hash = hash('sha256', $salt . $password); return $password_hash == $hash; } private function hash_password($password) { $salt = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM)); $hash = hash('sha256', $salt . $password); return $salt . $hash; } |
SHA256, maar een keer gehashed om de kans op collisions zo klein mogelijk te houden. Al is de kans op collisions bij een SHA256 al niet bijster groot.
Edit; Ik weet niet of bovenstaande het topic waardig is
If money talks then I'm a mime
If time is money then I'm out of time
/u/26742/000000751.png?f=community)
Ojee, hashes. Nou moet ik weer posten
Stel:
Gebruik je iets zwaarders (zoals PiepPiep's suggestie), dan wordt het compleet onhaalbaar.
(let op, md5 is doorgaans ook gesalt, bij PHP bijvoorbeeld standaard met een 12-character salt)
(disclaimer: ik juich elke migratie van MD5 naar iets beters toe! Ik wil alleen wel graag dat zaken in de juiste verhouding gezien worden)
Maar dat gezegd vind ik wel dat er het een en ander af te dingen is op zijn verhaal, met name op de prijs/performance conclusie. Hij gaat uit van 2 hashes/clock (klinkt acceptabel met een goed design) en 50MHz (klinkt ook acceptabel). Dat komt neer op 100 Mhash/sec. De vraag is dan wat de FPGA in kwestie kost, die dingen varieren van 10 tot 1000+ euro per stuk afhankelijk van de specificaties. Om tot leuke getallen te komen gebruikt hij 64 FPGAs (en stelt vervolgens weer voor om blokken van 64 FPGAs te stapelen).
Iemand die een FPGA MD5 cracker als afstudeerproject heeft gedaan haalde nog geen 1 Mhash/sec op een Altera II 2C35, welke rond de $100 kost. Ter vergelijking, mijn computer (Core 2 duo) heb ik tweedehands gekocht voor €75 en doet 4 Mhash/sec.
Maar laten we onze comment-poster het voordeel van de twijfel geven, en zeggen dat hij zijn 100 Mhash/sec haalt op een FPGA van €10, ongeveer 1000 keer zo snel/goedkoop als die student dus. Dan doet hij 10 Mhash/sec/euro, tegenover 0.05 Mhash/sec/euro voor mijn PC. 200 keer zo goedkoop/snel dus.
Is dat sneller? Sure. Is dat snel genoeg om te beweren dat rainbow tables geen realistische aanval zijn? Nee.
Stel we hebben een dictionary van 50 miljoen wachtwoorden (en variaties). De FPGA van meneer doet er een halve seconde over om een hash te testen tegen die dictionary. Een rainbow table voor deze dictionary is ongeveer 1.5GB. Een binary search naar de juiste hash kost maximaal 26 lookups (en dat kan slimmer, gezien de uniformiteit). Als één lookup op mijn computer 100ns kost, dan kost het doorzoeken van de rainbow table ongeveer 2.5µs, 200 000 keer zo snel brute force als op de FPGA. Koop duizend FPGAs, en mijn rainbow table is nog steeds 200 keer zo snel.
En dat is onder de aanname dat je die dictionary efficient op je FPGA krijgt... Met 100 Mhash/sec en 8-byte wachtwoorden moet je al continue 800 MB/sec aan je FPGA voeren. Dat kan nog wel eens problematisch worden voor goedkope FPGAs. Je kunt natuurlijk de FPGA wel de hele mogelijke wachtwoordruimte laten doorzoeken, maar die ruimte is vele malen groter dan zo'n dictionary, dus daar neemt de rekentijd gigantisch mee toe.
Conclusie: FPGAs zijn inderdaad leuk speelgoed, en als je op grote schaal wachtwoordhashes kraakt kunnen ze erg aantrekkelijk zijn. Maar ze zijn niet heilig, en maken salts zeker niet nutteloos.
Conclusie 2: gebruik de duurste hash die je acceptabel kunt gebruiken (dat is dus minimaal SHA256), en gebruik een random salt van degelijke grootte.
Dan vind ik dat je beter een mailtje met een activatie-link kunt sturen. Dat is feitelijk natuurlijk hetzelfde, maar duidelijker voor gebruikers; anders heb je "magische eenmalige eerstekeer-wachtwoorden" en "echte wachtwoorden".:
Uiteraard is het dan nog niet helemaal veilig (het "geheim" staat namelijk ergens als plain-text opgeslagen, namelijk in iemands mailbox en heeft diverse stations gepasseerd waar men het zou kunnen zien), maar daar zijn dan weer trucjes als "user must change password on first logon" voor uitgevonden
Dat hangt nogal van de context af natuurlijk.
Stel:
- Toegestane tekens zijn alle non-control chars van US ASCII (Zo'n beetje alles wat je standaard met een US QWERY toetsenbord kunt maken, 95 tekens).
- Je wil een edit-distance van 3 of korter niet toestaan.
- De gebruiker voert een nieuw wachtwoord van 10 tekens in.
Gebruik je iets zwaarders (zoals PiepPiep's suggestie), dan wordt het compleet onhaalbaar.
Waarom? Het herhalen van een hash zorgt ervoor dat de hash berekenen trager wordt, zodat brute-forcen onaantrekkelijk wordt. Natuurlijk kun je dat overkill vinden, maar tsja... Je kunt überhaupt hashen ook overkill vinden. Waar trek je die grens?
...dan heb je een slechte salt. Gebruik alsjeblieft gewoon een random string.
Natuurlijk achterhaal je die, een salt is onderdeel van een hash.
Hoeveel onveiliger denk je dat "gewoon md5" is dan jouw geschetste aanpak?
(let op, md5 is doorgaans ook gesalt, bij PHP bijvoorbeeld standaard met een 12-character salt)
(disclaimer: ik juich elke migratie van MD5 naar iets beters toe! Ik wil alleen wel graag dat zaken in de juiste verhouding gezien worden)
offtopic:
Over PHP gesproken trouwens:
PHP crypt() - Return Values: Returns the hashed string or a string that is shorter than 13 characters and is guaranteed to differ from the salt on failure.
Ugh
Over PHP gesproken trouwens:
PHP crypt() - Return Values: Returns the hashed string or a string that is shorter than 13 characters and is guaranteed to differ from the salt on failure.
Ugh
Die comment lijkt te willen concluderen dat je beter geen salts dan wel salts kunt gebruiken, en dat is sowieso onzin; zelfs al helpt een salt je niet (en dat doet een salt idd niet bij brute force; salts helpen tegen precomputed dictionary attacks), kwaad doet een salt niet. Hij stipt wel goed aan wat één van de redenen is dat MD5 tegenwoordig af te raden is; de hash is gewoon te licht aan het worden voor het rekengeweld van tegenwoordig.
Maar dat gezegd vind ik wel dat er het een en ander af te dingen is op zijn verhaal, met name op de prijs/performance conclusie. Hij gaat uit van 2 hashes/clock (klinkt acceptabel met een goed design) en 50MHz (klinkt ook acceptabel). Dat komt neer op 100 Mhash/sec. De vraag is dan wat de FPGA in kwestie kost, die dingen varieren van 10 tot 1000+ euro per stuk afhankelijk van de specificaties. Om tot leuke getallen te komen gebruikt hij 64 FPGAs (en stelt vervolgens weer voor om blokken van 64 FPGAs te stapelen).
Iemand die een FPGA MD5 cracker als afstudeerproject heeft gedaan haalde nog geen 1 Mhash/sec op een Altera II 2C35, welke rond de $100 kost. Ter vergelijking, mijn computer (Core 2 duo) heb ik tweedehands gekocht voor €75 en doet 4 Mhash/sec.
Maar laten we onze comment-poster het voordeel van de twijfel geven, en zeggen dat hij zijn 100 Mhash/sec haalt op een FPGA van €10, ongeveer 1000 keer zo snel/goedkoop als die student dus. Dan doet hij 10 Mhash/sec/euro, tegenover 0.05 Mhash/sec/euro voor mijn PC. 200 keer zo goedkoop/snel dus.
Is dat sneller? Sure. Is dat snel genoeg om te beweren dat rainbow tables geen realistische aanval zijn? Nee.
Stel we hebben een dictionary van 50 miljoen wachtwoorden (en variaties). De FPGA van meneer doet er een halve seconde over om een hash te testen tegen die dictionary. Een rainbow table voor deze dictionary is ongeveer 1.5GB. Een binary search naar de juiste hash kost maximaal 26 lookups (en dat kan slimmer, gezien de uniformiteit). Als één lookup op mijn computer 100ns kost, dan kost het doorzoeken van de rainbow table ongeveer 2.5µs, 200 000 keer zo snel brute force als op de FPGA. Koop duizend FPGAs, en mijn rainbow table is nog steeds 200 keer zo snel.
En dat is onder de aanname dat je die dictionary efficient op je FPGA krijgt... Met 100 Mhash/sec en 8-byte wachtwoorden moet je al continue 800 MB/sec aan je FPGA voeren. Dat kan nog wel eens problematisch worden voor goedkope FPGAs. Je kunt natuurlijk de FPGA wel de hele mogelijke wachtwoordruimte laten doorzoeken, maar die ruimte is vele malen groter dan zo'n dictionary, dus daar neemt de rekentijd gigantisch mee toe.
Conclusie: FPGAs zijn inderdaad leuk speelgoed, en als je op grote schaal wachtwoordhashes kraakt kunnen ze erg aantrekkelijk zijn. Maar ze zijn niet heilig, en maken salts zeker niet nutteloos.
Conclusie 2: gebruik de duurste hash die je acceptabel kunt gebruiken (dat is dus minimaal SHA256), en gebruik een random salt van degelijke grootte.
De grens trek ik waar je het een potentiele hacker al een stuk moeilijker maakt dan dat het nodig is. Als ze met een "simpele" md5 of sha1 (waar er genoeg reverse-hash sites voor zijn) gehasht zijn (zonder salts), maak je het een hacker niet veel moeilijker dan plain-text. Een sha-512 met (goedgekozen) salt zou het al een stuk moeilijker zijn, dus dat is mijn persoonlijke grens.:
Waarom? Het herhalen van een hash zorgt ervoor dat de hash berekenen trager wordt, zodat brute-forcen onaantrekkelijk wordt. Natuurlijk kun je dat overkill vinden, maar tsja... Je kunt überhaupt hashen ook overkill vinden. Waar trek je die grens?
Ok dan... Hier heb je een sha-512 met de salt ertussen, waar zit de salt?
Als je als hacker dan de broncode niet kunt bemachtigen, kun je dit niet weten en is dit dus imho veilig.
c8723ae7e41f9c756627f929fc3a3d56cc872d2fc4af5a4b3759ea6ca8c7dbf1098f6bcd4621d373cade4e832627b4f692000c36287bc6b8b0b0c986b7fb3f3ef1aa685e7b12d942a8c1616f0796dac1
(en stel dat je zelfs nog niet weet dat er hier een gedeelte sha-512 is, heb je nog meer keuzes
)Zie mijn punt hierboven.
Redelijk veel onveiliger, zie hierboven ook alweer:
Hoeveel onveiliger denk je dat "gewoon md5" is dan jouw geschetste aanpak?
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
:strip_icc():strip_exif()/u/48567/viribox_60x60.jpg?f=community)
De originele developer van een project van ons deed dat. Toen we erachter kwamen dat alle strings langer dan 8 karakters met dezelfde salt, allemaal dezelfde hash gaven, hebben we dat maar veranderd naar een ander algoritme (met ook nog eens unieke salts)
Zit wat in, maar vraag jezelf eens af waarom je het ze niet nóg moeilijker zou maken, als dat niet veel werk kost.
Ah, security through obscurity. Het punt was ook dat de registratietijd geen goed idee is om te gebruiken, voor redenen kijk bijvoorbeeld eens hier.[...]
Ok dan... Hier heb je een sha-512 met de salt ertussen, waar zit de salt?
Als je als hacker dan de broncode niet kunt bemachtigen, kun je dit niet weten en is dit dus imho veilig.
c8723ae7e41f9c756627f929fc3a3d56cc872d2fc4af5a4b3759ea6ca8c7dbf1098f6bcd4621d373cade4e832627b4f692000c36287bc6b8b0b0c986b7fb3f3ef1aa685e7b12d942a8c1616f0796dac1
(en stel dat je zelfs nog niet weet dat er hier een gedeelte sha-512 is, heb je nog meer keuzes
Nu denk je natuurlijk: Maar dat is toch nog een redelijk verwaarloosbaar risico? Het is toch maar een héél klein ietsiepietsie beetje onveiliger? Klopt. Maar waarom zou je, aangezien het je niet tot nauwelijks extra moeite kost, het niet gewoon dat kleine beetje veiliger maken?
Les één uit cryptografie: neem altijd aan dat de aanvaller weet hoe je systeem ontworpen is (en dat is echt les één). Ga er bij wachtwoorden dus van uit dat ze de gebruikte structuur weten, maar de keuzes binnen die structuur niet. Voor hashes hetzelfde, ga er van uit dat ze de structuur weten. Al het andere is security by obscurity.
Om het concreter te maken: als ze de hashes uit je DB weten te vissen, waarom ben je dan zo arrogant te denken dat ze je broncode niet kunnen zien?
Waarom denk je dat het standaard-hashformaat $id$salt$hash is? Omdat het zin heeft de salt te verstoppen? Of omdat dat juist geen zin heeft?
Zie hierboven wat?
En ik waag het te betwisten. Bij een MD5-hash met degelijke salt is brute forcen je enige optie, en crypt() doet aan key stretching, wat het bruteforcen daarvan trager zal maken dan een naive sha512-aanpak.
Al met al zou MD5 crypt() met een 72-bit salt paradoxaal genoeg veiliger kunnen zijn dan jouw geschetste aanpak (ervanuitgaande dat je geen crypt() gebruikt, maar gezien je geklooi met salts zal dat wel niet).
Merk op dat ik niet het gebruik van MD5 wil goedpraten; MD5 moet dood, en SHA512 lijkt een waardige opvolger te zijn. Maar verneuk je keuze van een goed hash-algoritme niet door andere dingen te verklooien. Gebruik de kennis van mensen die wel thuis zijn in cryptografie. Neem nou maar aan dat je voor salts echt een random string moet nemen. Gebruik nou maar gewoon crypt(), die doet onder andere key stretching voor je. Neem aan dat een aanvaller alle gebruikte parameters weet, behalve het wachtwoord zelf.
Is dat zo? Ik heb nog nooit md5()-gebruik voor wachtwoordhashes gezien. Mja, anekdotaal bewijs...
In ieder geval is dat een domme keuze van de meeste mensen dan. crypt() regelt de salt voor je, ondersteunt meerdere algoritmen (zoals ook SHA256 en SHA512) zodat migreren makkelijk is, en crypt() doet key stretching (zo'n 1000 iteraties voor MD5) voor je om brute forcen minder praktisch te maken.
Ja, dan heeft hij crypt() DES-hashes laten genereren. Dat dan alleen de eerste 8 tekens significant zijn is gewoon gedocumenteerd.:
De originele developer van een project van ons deed dat. Toen we erachter kwamen dat alle strings langer dan 8 karakters met dezelfde salt, allemaal dezelfde hash gaven, hebben we dat maar veranderd naar een ander algoritme (met ook nog eens unieke salts)
Toegegeven, DES password-hashing is tegenwoordig braindead te beschouwen en zou niet meer mogen bestaan, en crypt() is een kut-interface, maar dat probleem was gewoon te voorkomen geweest door braaf de documentatie te lezen
Je hebt natuurlijk wel gelijk, maar ik bedoel vooral:
als een hacker die op een of andere manier gewoon in mijn DB binnengeraakt nu die hashes zie, hoe kan hij dan in godsnaam weten hoe het in elkaar zit? Veel kans dat hij gewoon opgeeft. Als je natuurlijk "insider" info hebt, kun je iets doen, maar de meeste hackers gaan zover niet (zeker skiddies niet)
Anyway, mijn methode om te registreren/gebruikers toe te voegen is toch nog niet gemaakt, dus ik kan deze nog naar hartelust aanpassen, zal dit dan ook doen met een random salt in het achterhoofd
PS: het was uiteindelijk: sha-512("test".md5("test")), dan in 2 splitsen en de md5 ertussen plaatsen ^^
Omdat er nu eenmaal sneller een sql-injectie kan gebeuren dan de volledige broncode kapen denk ik? Natuurlijk is het altijd mogelijk, maar dan kan je evengoed een extra regel code met email met plaintext wachtwoord toevoegen...
Sowieso, op dit moment is het nog maar testen, heb dus het registreren nog niet afgewerkt, dus nog tijd zat om het op een betere manier te doen
Edit:
Heb het snel eens nagekeken, op dit moment is het een aanroep naar de hash() functie van php.
@deadinspace: bedankt voor de uitleg... Bijleren is ook altijd interessant. Die disclaimer staat er niets voor niets trouwens
[ Voor 22% gewijzigd door azerty op 07-05-2012 20:15 ]
Klopt, ik vond het ook gewoon netjes terug in de documentatie, dus geen idee waarom hij dat zo had gedaan.:
Toegegeven, DES password-hashing is tegenwoordig braindead te beschouwen en zou niet meer mogen bestaan, en crypt() is een kut-interface, maar dat probleem was gewoon te voorkomen geweest door braaf de documentatie te lezen
Verwijderd
Open Source is ook niet heilig Vandaag was ik op zoek naar een programma op iWork .pages bestanden te converteren. Toen kwam ik op dit leuke programmatje:
http://sourceforge.net/projects/pagesconvert/
Het is een Windows programma dat duidelijk in een .NET taal gescrheven is (na even zoeken op de site zie ik dat het VB is) wat opzich vreemd is, gezien Pages alleen op OSX / iOS beschikbaar is. Maar goed, mocht je een pages document op Windows willen openen, dan moet het oké zijn.
Redelijke ingewikkelde instructies, maar oké. Ik klik op Browse... En ik sluit het common dialog. Staat er ineens deze tekst in het tekstveld:
1. Het tekstveld is voor bestandsnamen.
2. Het past niet in het tekstveld.
3. Dit is geen nette notificatie.
4. Ik heb op Annuleren geklikt, dat is geen fout.
Echter wordt ook het Convert knopje actief wat ervoor zorgt dat we een mooie exception te zien krijgt. Welke niet afgevangen is.
Dus ja, dan kijken we naar de source. Wacht die staat niet online, het was toch een Open Source project???
Nou ja, Reflector dan maar.
In de frmMain klasse vinden we het standaard WinDesigner spul en twee methodes die alles doen. Meer zit er niet in de applicatie.
Method 1
Au.
1. De filename willen we in txtLocation zien, dus dan is de extra Dim fileName overbodig.
2. OpenFileDialog returned een enum, welke naast OK ook een Cancel kent waarna de methode netjes afgebroken dient te worden.
3. Na het afhandelen van de "fout" wordt alsnog btnConvert enabled..
en dan vooral dit:
Dit levert natuurlijk niet altijd een unieke bestandsnaam op (wat hier gewenst is)
Vandaag was ik op zoek naar een programma op iWork .pages bestanden te converteren. Toen kwam ik op dit leuke programmatje:http://sourceforge.net/projects/pagesconvert/
Het is een Windows programma dat duidelijk in een .NET taal gescrheven is (na even zoeken op de site zie ik dat het VB is) wat opzich vreemd is, gezien Pages alleen op OSX / iOS beschikbaar is. Maar goed, mocht je een pages document op Windows willen openen, dan moet het oké zijn.
Redelijke ingewikkelde instructies, maar oké. Ik klik op Browse... En ik sluit het common dialog. Staat er ineens deze tekst in het tekstveld:
Nou hier zijn sowieso al 4 dingen mis mee:
1. Het tekstveld is voor bestandsnamen.
2. Het past niet in het tekstveld.
3. Dit is geen nette notificatie.
4. Ik heb op Annuleren geklikt, dat is geen fout.
Echter wordt ook het Convert knopje actief wat ervoor zorgt dat we een mooie exception te zien krijgt. Welke niet afgevangen is.
Dus ja, dan kijken we naar de source. Wacht die staat niet online, het was toch een Open Source project???
Nou ja, Reflector dan maar.
In de frmMain klasse vinden we het standaard WinDesigner spul en twee methodes die alles doen. Meer zit er niet in de applicatie.
Method 1
Visual Basic .NET:
1
2
3
4
5
6
7
8
9
10
11
12
13
| Private Sub btnBrowse_Click(ByVal sender As Object, ByVal e As EventArgs) Dim dialog As New OpenFileDialog Dim fileName As String = "" dialog.Filter = "XML files (*.xml)|*.xml" If (dialog.ShowDialog = DialogResult.OK) Then fileName = dialog.FileName End If If (fileName.Trim = "") Then fileName = "ERROR! Type in the file location manually, then hit convert." End If Me.txtLocation.Text = fileName Me.btnConvert.Enabled = True End Sub |
Au.
1. De filename willen we in txtLocation zien, dus dan is de extra Dim fileName overbodig.
2. OpenFileDialog returned een enum, welke naast OK ook een Cancel kent waarna de methode netjes afgebroken dient te worden.
3. Na het afhandelen van de "fout" wordt alsnog btnConvert enabled..
Visual Basic .NET:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| Private Sub btnConvert_Click(ByVal sender As Object, ByVal e As EventArgs) Dim writer As StreamWriter Dim reader As New StreamReader(Me.txtLocation.Text) If File.Exists(Me.txtLocation.Text.Replace(".xml", ".txt")) Then VBMath.Randomize Dim num3 As Integer = CInt(Math.Round(CDbl(((88888! * VBMath.Rnd) + 1!)))) writer = New StreamWriter(Me.txtLocation.Text.Replace(".xml", (Conversions.ToString(num3) & ".txt"))) Else writer = New StreamWriter(Me.txtLocation.Text.Replace(".xml", ".txt")) End If Dim str As String = reader.ReadToEnd Dim num2 As Integer = Strings.InStr(str, "sf:anchor-loc=""0""", CompareMethod.Binary) str = str.Remove(0, (num2 + &H12)) num2 = Strings.InStr(str, "</sf:layout>", CompareMethod.Binary) str = str.Remove((num2 - 1), (str.Length - num2)).Replace("<sf:br/>", ChrW(13) & ChrW(10)).Replace("<sf:tab/>", ChrW(9)).Replace("<sf:lnbr/>", ChrW(13) & ChrW(10)).Replace("’", "'").Replace("‘", "'").Replace("“", """").Replace("”", """").Replace("ō", "o").Replace("—", "-").Replace("ē", "e").Replace("…", "...").Replace("ï", "i").Replace("ë", "e") num2 = Strings.InStr(str, "<", CompareMethod.Binary) Dim i As Integer = Strings.InStr(str, ">", CompareMethod.Binary) Do While (num2 <> 0) str = str.Remove((num2 - 1), ((i - num2) + 1)) num2 = Strings.InStr(str, "<", CompareMethod.Binary) i = Strings.InStr(str, ">", CompareMethod.Binary) Loop reader.Close writer.Write(str) writer.Close MessageBox.Show("File has been sucessfully converted to .txt.", "Pages Converter") Me.txtLocation.Text = "" Me.btnConvert.Enabled = False End Sub |
en dan vooral dit:
Visual Basic .NET:
1
2
3
| VBMath.Randomize Dim num3 As Integer = CInt(Math.Round(CDbl(((88888! * VBMath.Rnd) + 1!)))) writer = New StreamWriter(Me.txtLocation.Text.Replace(".xml", (Conversions.ToString(num3) & ".txt"))) |
Dit levert natuurlijk niet altijd een unieke bestandsnaam op (wat hier gewenst is)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
Bril nodig?
En niet dat 't veel beter is (
), maar ik zie hele andere code:Visual Basic .NET:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| Private Sub AddFile() Dim opnFile As New OpenFileDialog Dim strLocation As String '''''''''''''''Filter out all but XML files opnFile.Filter = "XML files (*.xml)|*.xml" '''''''''''''''Show Open Dialog, add to lstLocation If opnFile.ShowDialog() = Windows.Forms.DialogResult.OK Then strLocation = opnFile.FileName '''''''''''''''Quick check for proper file format If Not ((strLocation.IndexOf(".xml") = -1) Or (strLocation.Length < 4)) Then Me.lstLocation.Items.Add(strLocation) Me.btnConvert.Enabled = True End If End If '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' End Sub |
Visual Basic .NET:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
| Private Sub Convert() Dim strFileContents, strLocation, strFilename As String Dim intIndex, intChars As Integer Dim blnWorkDone As Boolean Do While Not System.IO.File.Exists(Me.lstLocation.Items.Item(0)) 'If file doesn't exist, throw error and remove MessageBox.Show("The file: " & vbCrLf & lstLocation.Items.Item(0) & vbCrLf & "does not exist. It will not be converted.", "Error!") Me.lstLocation.Items.RemoveAt(0) If Me.lstLocation.Items.Count = 0 Then '''''''''''''''Quit loop if nothing is left Exit Do End If Loop Do While Me.lstLocation.Items.Count <> 0 Dim objReader As System.IO.StreamReader = New StreamReader(String.Format(Me.lstLocation.Items.Item(0))) Dim objWriter As System.IO.StreamWriter '''''''''''''''The loop is being run; work must be occuring blnWorkDone = True '''''''''''''''Differentiate path into location and filename for saving document as "filename".txt strFilename = Me.lstLocation.Items.Item(0) strFilename = strFilename.Substring(0, strFilename.LastIndexOf("\")) strFilename = strFilename.Substring(strFilename.LastIndexOf("\") + 1) strFilename = strFilename.Replace(".pages", Nothing) strLocation = String.Format(Me.lstLocation.Items.Item(0)) strLocation = strLocation.Replace("index.xml", strFilename & ".txt") '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''If file exists, add random number. If Not System.IO.File.Exists(strLocation) Then objWriter = New StreamWriter(strLocation) Else Randomize() Dim intRand As Integer = ((99999 - 11111) * Rnd() + 1) objWriter = New StreamWriter(strLocation.Replace(".txt", intRand & ".txt")) End If '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Read file into string strFileContents = objReader.ReadToEnd '''''''''''''''Remove beginning intIndex = InStr(strFileContents, "sf:anchor-loc=" & """" & "0" & """") strFileContents = strFileContents.Remove(0, intIndex + 18) '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Remove end intIndex = InStr(strFileContents, "</sf:layout>") strFileContents = strFileContents.Remove(intIndex - 1, (strFileContents.Length) - intIndex) '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ''''''''''''''Formatting - this is all I know, feel free to add here strFileContents = strFileContents.Replace("<sf:br/>", vbCrLf) strFileContents = strFileContents.Replace("<sf:tab/>", vbTab) strFileContents = strFileContents.Replace("<sf:lnbr/>", vbCrLf) strFileContents = strFileContents.Replace("’", "'") strFileContents = strFileContents.Replace("‘", "'") strFileContents = strFileContents.Replace("“", """") strFileContents = strFileContents.Replace("”", """") strFileContents = strFileContents.Replace("ō", "o") strFileContents = strFileContents.Replace("—", "-") strFileContents = strFileContents.Replace("ē", "e") strFileContents = strFileContents.Replace("…", "...") strFileContents = strFileContents.Replace("ï", "i") strFileContents = strFileContents.Replace("ë", "e") '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Gets the variables ready so they aren't forced into the loop (in case no formatting exists) intIndex = InStr(strFileContents, "<") intChars = InStr(strFileContents, ">") '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Removes all unknown xml While intIndex <> 0 strFileContents = strFileContents.Remove(intIndex - 1, (intChars - intIndex) + 1) intIndex = InStr(strFileContents, "<") ' i forsee this being a problem if someone has < or > in their work. intChars = InStr(strFileContents, ">") End While '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Close reader, write, close writer objReader.Close() objWriter.Write(strFileContents) objWriter.Close() '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' '''''''''''''''Remove the item just done Me.lstLocation.Items.RemoveAt(0) Loop '''''''''''''''After everything is done the convert button will need to be disabled and user needs to be alerted If blnWorkDone Then Me.btnConvert.Enabled = False blnWorkDone = False MessageBox.Show("File Conversion Completed." & vbCrLf & vbCrLf & "Files are located in their respective directories", "File Conversion Complete!") End If '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' End Sub |
Je hebt de 0.5 gedownload terwijl er een 0.6 beschikbaar is.
[ Voor 90% gewijzigd door RobIII op 09-05-2012 16:18 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Verwijderd
Hmm, dan is er een verschil tussen de versie op de homepage en die 0.6 versie Ze hebben iig mijn opmerkingen gefixed (onder Browse, het converteren is nog steeds brak)
De code die ik gevonden had zit idd in de .5 versie:
http://sourceforge.net/pr...Pages%20Converter%20v0.5/
Ze hebben iig mijn opmerkingen gefixed (onder Browse, het converteren is nog steeds brak)De code die ik gevonden had zit idd in de .5 versie:
http://sourceforge.net/pr...Pages%20Converter%20v0.5/
[ Voor 46% gewijzigd door Verwijderd op 09-05-2012 16:25 ]
:strip_icc():strip_exif()/u/86599/crop681cb5088171b_cropped.jpg?f=community)
Gelukkig is die versie pas 4 jaar uit
(Ah vooruit, de website verwijst naar de oude versie, ook faal)
(Ah vooruit, de website verwijst naar de oude versie, ook faal)
[ Voor 44% gewijzigd door Barryvdh op 09-05-2012 16:32 ]
Want 1 van de verschillende xml parsers van .NET gebruiken is voor noobs
Dan vooral deze:
code:
1
2
| strFileContents = strFileContents.Replace("ï", "i")
strFileContents = strFileContents.Replace("ë", "e") |
We don't need no frikkin' unicode, ascii slaat gemakkelijker op!
Wie submit hem op tdwtf?
[ Voor 47% gewijzigd door boe2 op 09-05-2012 17:40 ]
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind.' - Pratchett.
:strip_icc():strip_exif()/u/135404/crop586e284093763_cropped.jpeg?f=community)
Ik heb in een van m'n scripts het volgende:
Vraag me niet meer waarom, maar ik weet dat het echt een reden had
PowerShell:
1
| $zero = 0 |
Vraag me niet meer waarom, maar ik weet dat het echt een reden had
[ Voor 5% gewijzigd door YellowOnline op 09-05-2012 18:53 ]
/u/172597/crop5e1225c8b1011.png?f=community)
Je kan dan ook 0 gaan randommizen
$zero = rand()-rand();
$zero = rand()-rand();
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Ow god praat me er niet van, leuk geintje van collega van me...:
Je kan dan ook 0 gaan randommizen
$zero = rand()-rand();
PHP:
1
| function resetToZero($var){ $var = rand(); return $var } |
Diep verstopt in de krochten van een oude half PHP4, half PHP5 applicatie... En "niemand" snapte hoe het kon dat klanten van de webshop willekeurige bedragen opgeteld kregen bij hun bestelling! (gelukkig alleen in testmode, maar toch...)
[ Voor 2% gewijzigd door Firesphere op 09-05-2012 19:20 . Reden: $var dus, PINDA die ik ben! ]
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
Ik denk ineens wél weer te weten waarom ik dat deed en tegelijkertijd snap ik niet waar mijn hoofd op dat moment zat. De context zag er als volgt ongeveer uit::
Ik heb in een van m'n scripts het volgende:
PowerShell:
Vraag me niet meer waarom, maar ik weet dat het echt een reden had
PowerShell:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| $Zero = 0 $Counter = $Zero While ($Counter -NE $SomeVariable) { #Do something $Counter++ } $Counter = $Zero While ($Counter -NE $SomeOtherVariable) { #Do something $Counter++ } |
't Ontgaat me waarom ik niet gewoon $Counter = 0 doe, maar morgen op het werk kan ik wel eens uitchecken hoe het vork echt in de steel zat.
:strip_icc():strip_exif()/u/276052/avatar_2.jpg?f=community){kind=avatar}
/u/196456/smile.png?f=community)
Dit heeft toch niets met Open Source te maken? Als het closed source geweest was, was de kwaliteit er niet beter op geweest. Sterker nog, omdat het Open Source is, kan jij nu bijdragen door het te verbeteren:
Open Source is ook niet heilig
[...]
.
/u/312462/crop5638a62f66707.png?f=community)
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
:strip_exif()/u/151465/Untitled-1.gif?f=community)
:strip_icc():strip_exif()/u/87582/crop56c453152e887.jpeg?f=community)
Ook nog in plain-text zo te zien. En dan toch gewoon even allebei door de md5 heen halen, want het moet wel secure natuurlijk!
Ik vind de
ook wel mooi eigenlijk
PHP:
1
2
3
4
5
6
7
8
| if($a==$b) { return true; } else { return false; } |
ook wel mooi eigenlijk
/u/81985/crop566b00b43645a.png?f=community)
Ik douw gewoon zelf de eentjes en nulletjes de processor in. Haskell, bah.:
Iedereen weet toch dat alles behalve Haskell bagger programmeertalen zijn?
I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!
Met twee pez-dispensers in de hand een beetje tegen je cpu te frotten. Goed plan.:
[...]
Ik douw gewoon zelf de eentjes en nulletjes de processor in. Haskell, bah.
Verwijderd
Niet iedereen weet dat $a==$b een boolean waarde geeft, o wacht.:
Ik vind de
PHP:
ook wel mooi eigenlijk
Valt mee, maar het is zoveel code:
Eigenlijk is heel Java een slecht programmeervoorbeeld
. Heb een paar maanden in Scala gewerkt, moet nu weer terug naar Java. Geef mij case classes, .
/u/11437/wandcontactdoos.png?f=community)
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
Verwijderd
Momenteel op http://ldt.nl: een wachtrij 
JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| var intStartPosition = 7; function Update(intPosition) { var intTimeOut; if (intPosition > 0) { // update bar var intPercentage = Math.round((intPosition*100)/intStartPosition); UpdateBar(intPercentage); if (intPosition > 1000) { intTimeOut = 270000; // 4,5min - >1000 wachtenden } else if (intPosition > 500) { intTimeOut = 270000; // 4,5min - 500-1000 wachtenden } else if (intPosition > 250) { intTimeOut = 120000; // 2min - 250-500 wachtenden } else if (intPosition > 100) { intTimeOut = 60000; // 60sec - 100-250 wachtenden } else if (intPosition > 50) { intTimeOut = 30000; // 30sec - 50-100 wachtenden } else if (intPosition > 10) { intTimeOut = 15000; // 15sec - 10-50 wachtenden } else { intTimeOut = 10000; // 10sec - 0-10 wachtenden } // laat msg met waarschuwing zien: window.setTimeout("xajax_GetPositionInQueue(" + intStartPosition + ")", intTimeOut); } else { window.location="http://ldt.nl/"; } } function UpdateBar(intPercentage) { strWidth = (intPercentage) + '%'; nodImg = document.getElementById('imgQueueIndicator'); nodImg.style.width = strWidth; } function StartUpdate() { Update(7) } addLoadEvent(StartUpdate) |
Als je alleen de 6, 10 en 12 nodig hebt en er geen collega voor handen is dan is die oplossing (bedrijfseconomisch) beter dan gaan zoeken wat de betere manier is
Het is beiden gewoon bekendheid met het systeem (al grijpt de ene iets dieper in op de concepten en de andere op de implementatie); dat er uit die expressie met integers (of strings) een boolean komt rollen en niet slechts 'iets dat je in een IF kunt stoppen' (ga maar zoeken, verreweg de meeste vergelijkingsoperaties staan in een if of een loop) is een concept dat je door moet hebben, en die bewustwording moet ook groeien.
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Dit topic is gesloten.
Let op:
Uiteraard is het in dit topic niet de bedoeling dat andere users en/of topics aangehaald worden om ze voor gek te zetten. Lachen om je eigen code, of over dingen die je "wel eens tegengekomen bent" is prima, maar hou het onderling netjes.
Uiteraard is het in dit topic niet de bedoeling dat andere users en/of topics aangehaald worden om ze voor gek te zetten. Lachen om je eigen code, of over dingen die je "wel eens tegengekomen bent" is prima, maar hou het onderling netjes.