/u/94596/crop643fb12fd4e6d.png?f=community)
Via de volgende URL's is het mogelijk voor een gebruiker om zijn Tweakers.net forumprofiel aan te passen:
http://gathering.tweakers.net/forum/edit_user
https://gathering.tweakers.net/forum/edit_user
Bij het opsturen van wijzigingen moet de gebruiker ter bevestiging zijn wachtwoord meegeven. Dit wachtwoord wordt altijd plaintext verstuurd, ongeacht of het webformulier met SSL is opgevraagd of niet.
Vriendelijk verzoek voor wijziging: geen plaintext wachtwoord meer over het Internet bij het invullen van dit formulier. Hiervoor zijn een aantal aanvliegroutes:
• Als de gebruiker deze pagina opvraagt via SSL om daarmee gegevens te versturen, zorg er dan voor dat de gegevens ook teruggestuurd worden over SSL (=verwacht gedrag, anders wordt de gebruiker bijvoorbeeld in Firefox met een waarschuwing geconfronteerd).
• Een alternatief kan natuurlijk ook in JavaScript aan de client-kant en wat extra werk aan de serverkant gezocht worden (hash met salt), immers moet het opgestuurde wachtwoord server-side alleen maar vergeleken worden), zolang er maar geen plaintext wachtwoord over het web gaat. Zo is ook het formulier zonder SSL wat veiliger in gebruik.
[edit]
Even met Firebug een test gedaan. Van het "user_form" form-tag is het action-attribuut standaard gevuld met 'http://gathering.tweakers.net/forum'. Al wordt dit geforceerd naar 'https://gathering.tweakers.net/forum' voordat de informatie wordt opgestuurd, dan wordt de informatie succesvol verzonden via SSL en verwerkt. Dit werkt ook als het formulier niet is opgevraagd via SSL. Een mogelijke oplossing is alleen het versturen van het formulier via SSL.
http://gathering.tweakers.net/forum/edit_user
https://gathering.tweakers.net/forum/edit_user
Bij het opsturen van wijzigingen moet de gebruiker ter bevestiging zijn wachtwoord meegeven. Dit wachtwoord wordt altijd plaintext verstuurd, ongeacht of het webformulier met SSL is opgevraagd of niet.
Vriendelijk verzoek voor wijziging: geen plaintext wachtwoord meer over het Internet bij het invullen van dit formulier. Hiervoor zijn een aantal aanvliegroutes:
• Als de gebruiker deze pagina opvraagt via SSL om daarmee gegevens te versturen, zorg er dan voor dat de gegevens ook teruggestuurd worden over SSL (=verwacht gedrag, anders wordt de gebruiker bijvoorbeeld in Firefox met een waarschuwing geconfronteerd).
• Een alternatief kan natuurlijk ook in JavaScript aan de client-kant en wat extra werk aan de serverkant gezocht worden (hash met salt), immers moet het opgestuurde wachtwoord server-side alleen maar vergeleken worden), zolang er maar geen plaintext wachtwoord over het web gaat. Zo is ook het formulier zonder SSL wat veiliger in gebruik.
[edit]
Even met Firebug een test gedaan. Van het "user_form" form-tag is het action-attribuut standaard gevuld met 'http://gathering.tweakers.net/forum'. Al wordt dit geforceerd naar 'https://gathering.tweakers.net/forum' voordat de informatie wordt opgestuurd, dan wordt de informatie succesvol verzonden via SSL en verwerkt. Dit werkt ook als het formulier niet is opgevraagd via SSL. Een mogelijke oplossing is alleen het versturen van het formulier via SSL.
[ Voor 24% gewijzigd door The Zep Man op 05-05-2013 22:54 ]
Yar har, wind in your back, lads, wherever you go!
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
