De Devschuur Coffee Corner - Iteratie 6

Ik zal hem wel niet snappen.

Douweegbertje schreef op zaterdag 14 juni 2014 @ 14:33:
Ik zal hem wel niet snappen.

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa......

_{als ik het goed lees trouwens}

[ Voor 9% gewijzigd door Ryur op 14-06-2014 14:37 ]

Weet iemand een plek waar je een credit card kan krijgen zonder dat ze uitgebreide background checks gaan doen? Ik krijg bij de gemiddelde bank geen CC om wat voor vage rede dan ook.

Ja zover was ik gelukkig wel maar het doet nu niet zo veel ^^..
Er zijn zoveel dingen, zoals on key press een extra letter geven, of de volgende letter in het alfabet returnen etc.
Mja goed, ben niet echt helder vandaag nog

Douweegbertje schreef op zaterdag 14 juni 2014 @ 14:33:
Ik zal hem wel niet snappen.

Maakt een endless loop, waardoor de browser crasht.

Gamebuster schreef op zaterdag 14 juni 2014 @ 14:41:
Weet iemand een plek waar je een credit card kan krijgen zonder dat ze uitgebreide background checks gaan doen? Ik krijg bij de gemiddelde bank geen CC om wat voor vage rede dan ook.

Die vage rede zal vast niet zo vaag zijn, maar ok..
Je kan een americanexpress nemen, visa, anwb cc, etc.
Meestal moet je wel een minimum inkomen hebben van xx.xxx en geen slechte registratie hebben bij het bkr..

Gamebuster schreef op zaterdag 14 juni 2014 @ 14:41:
Weet iemand een plek waar je een credit card kan krijgen zonder dat ze uitgebreide background checks gaan doen? Ik krijg bij de gemiddelde bank geen CC om wat voor vage rede dan ook.

Prepaid creditcard misschien proberen?
http://welkecreditcard.nl...id-creditcards-nederland/

Lethalis schreef op zaterdag 14 juni 2014 @ 11:21:
[...]


x += y vind ik gewoon handig en korter dan x = x + y

Performance technisch zou je nog ervoor kunnen kiezen een StringBuilder te gebruiken met Append om de SelectieTekst op te bouwen.. maar ja, waarom moeilijk doen als het ook makkelijk kan?

Wat is er mis met String.Join?

Firesphere: ben je je adminpagina aan het uitbreiden?

incaz schreef op zaterdag 14 juni 2014 @ 19:14:
Firesphere: ben je je adminpagina aan het uitbreiden?

Nou, dat was ik niet van plan, hoezo?

Nieuwe "fout" melding voor je admin pagina

Precies, prima variant als je "Not it, please don't tru again" zat bent. Overigens, pullrequest:

Mijn admin gebeuren is niet eens van buitenaf te benaderen. Firewall regeltjes.
Scheelt ook wel een hoop.

Daarom moet je voor een fake admin zorgen, veel leuker

incaz schreef op zaterdag 14 juni 2014 @ 19:51:
Precies, prima variant als je "Not it, please don't tru again" zat bent. Overigens, pullrequest:

JavaScript:

1 2 3 4

var text="mu"; while(1) { text += 'ha'; }

Ik denk da'k een alert toevoeg

deadinspace schreef op zaterdag 14 juni 2014 @ 12:49:
[...]

Ik heb ook zo mijn twijfels of dat eerste wachtwoord veiliger is dan het tweede.

Als we er van uit gaan dat de gemiddelde Nederlander zo'n 3000 werkwoorden, 3000 bijvoeglijke naamwoorden en 3000 zelfstandige naamwoorden kent, dan kun je met die zinstructuur 3000⁴ verschillende passphrases maken. Er zijn natuurlijk meer zinstructuren mogelijk, laten we optimistisch zeggen dat er 3000 mogelijke zinstructuren zijn voor korte (<10 woorden) zinnen, elk met 4 willekeurig in te vullen woorden. Dat geeft een totaal van 3000⁵ mogelijkheden, krap 2^57.8. Die aanpak geeft een entropie van ongeveer 57.8 bits dus.

Het willekeurige wachtwoord uit je post geeft 94⁹ mogelijkheden, ongeveer 2⁵⁹, dus 59 bits aan entropie. Dat maakt die twee redelijk vergelijkbaar (met een paar optimistische aannames voor de zin). Op zich niet slecht, maar het maakt de zin niet veiliger

Volgens mij zit hier een kleine denkfout (of het ligt eraan dat ik mijn voorbeeld niet goed toelicht). Jij gaat er sowieso vanuit dat je een zin maakt die logisch is (correcte zinsopbouw) en dat men bij het hacken weet dat er gebruik is gemaakt van een zin en dat er absoluut geen andere tekens in staan (cijfers, leestekens enzovoorts).
Je kunt echter makkelijk te onthouden variaties toepassen, zoals:
- bepaalde letters door cijfers/tekens te verwisselen ("e" vervangen door een "3", "i" door een "!")
- random een leesteken/cijfer tussen twee woorden in.
- woorden in een andere, onlogische (niet correct Nederlands) volgorde zetten
- woorden uit een andere taal erin gebruiken (b.v. Duits of Engels)
- stukjes "l33tspeak" gebruiken (komen in veel gevallen ook niet voor in de dikke Van Dale)

Dit komt er uiteindelijk op neer dat je bij een wachtwoord(zin) van 25 tekens eerder in de buurt van de 94²⁵ combinaties hebt, terwijl het wel een wachtwoord is wat ik eenvoudig kan onthouden. Zo zou je mijn eerdere voorbeeld kunnen omzetten naar "OMG!erhangen3blauwehorsesindeKerstboom". Nog altijd vrij simpel te onthouden, voldoet zelfs aan de meeste regeltjes van wachtwoorden (hoofdletters, cijfers, tekens) maar is veel beter in alle opzichten dan zo'n "K!(s@$214J" wachtwoord.

Enige nadeel is dat het best lastig is (voor mij) om zoveel karakters zonder fouten te typen als ik geen feedback heb.

Dat klopt, daar heb ik soms ook last van, maar dat is een algemeen iets voor het intypen van wachtwoorden.

ARGH, m'n modem heeft kuren, rsa-login naar github en bitbucket falen, maar gewoon SSH werkt wel, google.com onbereikbaar, etc.

Ook met een VPN?

Firesphere schreef op zaterdag 14 juni 2014 @ 20:05:
[...]

Ik denk da'k een alert toevoeg

Juist gelijk dat dat bij een browser die wat recent is veel zin heeft... Na 2 mededelingen vink ik gewoon aan: toon geen alerts meer, en het probleem is opgelost

Dan gaat de while nog wel door

Moi_in_actie schreef op zaterdag 14 juni 2014 @ 20:54:
Dat klopt, daar heb ik soms ook last van, maar dat is een algemeen iets voor het intypen van wachtwoorden.

Daarom: passwordmanagers

Helaas doen sommige websitebouwers overdreven moeilijk met het ontwerpen van hun formulieren, waardoor die tools de inputvelden niet goed detecteren

Moi_in_actie schreef op zaterdag 14 juni 2014 @ 20:26:
Jij gaat er sowieso vanuit dat je een zin maakt die logisch is (correcte zinsopbouw)

Ja, maar dat lijkt me geen gekke aanname als het enige voorbeeld waarvan ik kan extrapoleren "erhangteenblauwpaardindekerstboom" is

Je kunt natuurlijk volstrekt random woorden nemen, correct horse battery staple-stijl. Dan krijg je bijvoorbeeld diceware passphrases. Wiskundig gegarandeerd

en dat men bij het hacken weet dat er gebruik is gemaakt van een zin en dat er absoluut geen andere tekens in staan (cijfers, leestekens enzovoorts).
Je kunt echter makkelijk te onthouden variaties toepassen, zoals:
- bepaalde letters door cijfers/tekens te verwisselen ("e" vervangen door een "3", "i" door een "!")
- random een leesteken/cijfer tussen twee woorden in.
- woorden in een andere, onlogische (niet correct Nederlands) volgorde zetten
- woorden uit een andere taal erin gebruiken (b.v. Duits of Engels)
- stukjes "l33tspeak" gebruiken (komen in veel gevallen ook niet voor in de dikke Van Dale)

Maar dat soort dingen kan niet alleen degene die wachtwoorden verzint, dat kan een aanvaller ook! En je maakt het wachtwoord wel moeilijker te raden, maar ook moeilijker te onthouden.

Als voorbeeld: hoofdletters. Je kunt ervoor kiezen ergens in je "correct horse battery staple" een letter te veranderen in een hoofdletter. Sterker nog, je hebt die keuze voor elke letter! Laten we uitgaan van 5 random woorden uit een woordenlijst van 5000 woorden. Dan heeft een standaard passphrase 5000⁵ mogelijkheden, 61.4 bits aan entropie.

Je hebt voor elke letter de keuze voor kleine letter of hoofdletter. Als die woorden gemiddeld 5 letters hebben, dan heb je het gemiddeld over 25 letters en dus 2²⁵ extra mogelijkheden. Dat geeft 5000⁵*2²⁵ mogelijkheden, ongeveer 86.4 bits aan entropie. Maar om dat voor elke letter te onthouden is moeilijk... Was het "CoRreCt hORsE baTtEry STaplE" of "coRReCt hORsE Battery sTAPLE"? Pfff...

Dus wat doen mensen? Ze gebruiken bijvoorbeeld alleen maar kleine letters, en dan op één, twee, of misschien drie plaatsen een hoofdletter. Dat is wel gemakkelijk te onthouden. Maar in het geval van één hoofdletter geeft dat niet 2²⁵ extra mogelijkheden, maar slechts 25. Dus 5000⁵*25, ongeveer 66.1 bits, niet heel veel meer dan de originele 61.4. Twee hoofdletters geeft iets van 5000⁵*300 mogelijkheden, 69.7 bits. Het helpt wel, maar niet gigantisch veel.

Het is naief om te denken dat aanvallers zulk soort structuren niet kennen en daar geen rekening mee houden. Zeker dingen als "voeg ergens een leesteken of getal toe" in combinatie met een bestaand woord (of naam) is zo verschrikkelijk gangbaar tegenwoordig, aanvallers zouden achterlijk zijn om daar geen rekening mee te houden. En achterlijk zijn ze niet.

Dit komt er uiteindelijk op neer dat je bij een wachtwoord(zin) van 25 tekens eerder in de buurt van de 94²⁵ combinaties hebt, terwijl het wel een wachtwoord is wat ik eenvoudig kan onthouden.

Nee, echt absoluut niet.

Als het minder dan 94²⁵ "mogelijkheden" kost om te onthouden, dan heeft het ook minder dan 94²⁵ mogelijkheden om uit te proberen omdat er structuur in zit. Heel veel structuur zelfs in het geval van jouw voorbeelden.

Je doet de aanname dat een aanvaller die structuur niet kent, maar dat is erg gevaarlijk; het is een schoolvoorbeeld van security through obscurity. Het verschil van 5 willekeurige woorden (61.4 bits) en 25 willekeurige letters (163.9 bits) is enorm, en dus is de motivatie om structuren uit te proberen groot. En vijf woorden met wat substituties enzo is wel sterker dan simpelweg vijf woorden, maar het eindresultaat ligt qua entropie veel dichter bij 61.4 dan bij 163.9.

Begrijp me niet verkeerd; jouw toevoegingen maken het wachtwoord zeker sterker, en kunnen een hardstikke goede balans zijn tussen sterkte en onthoudbaarheid. Maar het is absoluut niet equivalent aan 25 willekeurige letters. En je originele post waar ik op reageerde had dergelijke toevoegingen natuurlijk ook niet

Ligt bitbucket gewoon plat voor 4 uur. Stelletje prutsers.

deadinspace schreef op zaterdag 14 juni 2014 @ 21:11:
[...]

Ja, maar dat lijkt me geen gekke aanname als het enige voorbeeld waarvan ik kan extrapoleren "erhangteenblauwpaardindekerstboom" is

Je kunt natuurlijk volstrekt random woorden nemen, correct horse battery staple-stijl. Dan krijg je bijvoorbeeld diceware passphrases. Wiskundig gegarandeerd

[...]

Maar dat soort dingen kan niet alleen degene die wachtwoorden verzint, dat kan een aanvaller ook! En je maakt het wachtwoord wel moeilijker te raden, maar ook moeilijker te onthouden.

Als voorbeeld: hoofdletters. Je kunt ervoor kiezen ergens in je "correct horse battery staple" een letter te veranderen in een hoofdletter. Sterker nog, je hebt die keuze voor elke letter! Laten we uitgaan van 5 random woorden uit een woordenlijst van 5000 woorden. Dan heeft een standaard passphrase 5000⁵ mogelijkheden, 61.4 bits aan entropie.

Je hebt voor elke letter de keuze voor kleine letter of hoofdletter. Als die woorden gemiddeld 5 letters hebben, dan heb je het gemiddeld over 25 letters en dus 2²⁵ extra mogelijkheden. Dat geeft 5000⁵*2²⁵ mogelijkheden, ongeveer 86.4 bits aan entropie. Maar om dat voor elke letter te onthouden is moeilijk... Was het "CoRreCt hORsE baTtEry STaplE" of "coRReCt hORsE Battery sTAPLE"? Pfff...

Dus wat doen mensen? Ze gebruiken bijvoorbeeld alleen maar kleine letters, en dan op één, twee, of misschien drie plaatsen een hoofdletter. Dat is wel gemakkelijk te onthouden. Maar in het geval van één hoofdletter geeft dat niet 2²⁵ extra mogelijkheden, maar slechts 25. Dus 5000⁵*25, ongeveer 66.1 bits, niet heel veel meer dan de originele 61.4. Twee hoofdletters geeft iets van 5000⁵*300 mogelijkheden, 69.7 bits. Het helpt wel, maar niet gigantisch veel.

Het is naief om te denken dat aanvallers zulk soort structuren niet kennen en daar geen rekening mee houden. Zeker dingen als "voeg ergens een leesteken of getal toe" in combinatie met een bestaand woord (of naam) is zo verschrikkelijk gangbaar tegenwoordig, aanvallers zouden achterlijk zijn om daar geen rekening mee te houden. En achterlijk zijn ze niet.

[...]

Nee, echt absoluut niet.

Als het minder dan 94²⁵ "mogelijkheden" kost om te onthouden, dan heeft het ook minder dan 94²⁵ mogelijkheden om uit te proberen omdat er structuur in zit. Heel veel structuur zelfs in het geval van jouw voorbeelden.

Je doet de aanname dat een aanvaller die structuur niet kent, maar dat is erg gevaarlijk; het is een schoolvoorbeeld van security through obscurity. Het verschil van 5 willekeurige woorden (61.4 bits) en 25 willekeurige letters (163.9 bits) is enorm, en dus is de motivatie om structuren uit te proberen groot. En vijf woorden met wat substituties enzo is wel sterker dan simpelweg vijf woorden, maar het eindresultaat ligt qua entropie veel dichter bij 61.4 dan bij 163.9.

Begrijp me niet verkeerd; jouw toevoegingen maken het wachtwoord zeker sterker, en kunnen een hardstikke goede balans zijn tussen sterkte en onthoudbaarheid. Maar het is absoluut niet equivalent aan 25 willekeurige letters. En je originele post waar ik op reageerde had dergelijke toevoegingen natuurlijk ook niet

Theoretisch heb je gelijk, maar vrijwel niemand gebruikt 25 willekeurige tekens als wachtwoord. 123456 is de meest gebruikte.... Wat lager staat Admin en password1. Vrijwel ieder ander wachtwoord zou al een verbetering zijn

En dat was de laatste opdracht van de cursus Functional programming principles in Scala.
Zojuist de laatste opdracht gesubmit. Eindscore per week:
Week 1: 0 (ik was te laat begonnen aan de cursus)
Week2: 9.29 / 10
Week3: 10/10
Week 4/5: 20/20
Week6: 10/10
Week7: 20/20

Moet genoeg zijn om het certificaat te mogen ontvangen

Week 7 was de leukste opdracht. Dat was het schrijven van een path finding algoritme voor het spelletje bloxorz: http://www.coolmath-games.com/0-bloxorz/index.html

[ Voor 20% gewijzigd door WernerL op 14-06-2014 21:56 ]

StM schreef op zaterdag 14 juni 2014 @ 21:49:
[...]
Theoretisch heb je gelijk, maar vrijwel niemand gebruikt 25 willekeurige tekens als wachtwoord. 123456 is de meest gebruikte.... Wat lager staat Admin en password1. Vrijwel ieder ander wachtwoord zou al een verbetering zijn

Nog afgezien van dat mensen wachtwoorden waar "moeilijke tekens" (al is het er maar 1) inzitten gewoon gaan opschrijven en naast hun computer gaan neerleggen. Of in hun portemonnee. Of op hun laptop plakken. Of op hun desktop plaatsen. Noem het maar op

Dat is (maar alsnog erg genoeg) alleen een lokaal probleem.... En in dezelfde categorie problemen iets dat ik recent tegen kwam. De 'unieke' salt om een MAC te genereren om berichten te ondertekenen en te voorkomen dat deze aangepast worden was... *tromgeroffel* de bedrijfsnaam.

Eigenaar was trouwens een IT bedrijf en het ging om een publiek toegankelijke webapplicatie.

*zucht*

deadinspace schreef op zaterdag 14 juni 2014 @ 21:11:
Als voorbeeld: hoofdletters. Je kunt ervoor kiezen ergens in je "correct horse battery staple" een letter te veranderen in een hoofdletter. Sterker nog, je hebt die keuze voor elke letter! Laten we uitgaan van 5 random woorden uit een woordenlijst van 5000 woorden. Dan heeft een standaard passphrase 5000⁵ mogelijkheden, 61.4 bits aan entropie.

Je hebt voor elke letter de keuze voor kleine letter of hoofdletter. Als die woorden gemiddeld 5 letters hebben, dan heb je het gemiddeld over 25 letters en dus 225 extra mogelijkheden. Dat geeft 50005*225 mogelijkheden, ongeveer 86.4 bits aan entropie.

Ik ben geen expert op het gebied van wachtwoorden (zeker niet), maar ik vraag me af of deze aanname klopt. Bepaalde letters vervangen door cijfers/tekens is natuurlijk iets wat algemeen bekend is bij hackers en de tools die men hierbij gebruikt.

Hoe ik het zie, en correct me if I'm wrong (vraag het me echt af of dit klopt): als je letters vervangt zijn het geen echte woorden meer, of anders gezegd er komen voor elk woord meerdere mogelijke schrijfwijzen. "water" kan je dan bijvoorbeeld ook schrijven als "w@ter", "wat3r" of "w@t3r". Stel dat er gemiddeld per woord hierdoor 4 schrijfwijzen ontstaan, moet je het dan niet tellen als (5000*4)⁵? En wanneer komt het punt waarop dat je (met vervanging van letters, l33tspeak, woorden uit andere talen) niet meer mag uitgaan van woorden (met een paar duizend opties in iemands vocabulaire), maar je uit moet gaan van 25 random tekens. Zo maar een paar dingen die ik mij afvraag

Voor de gein heb ik de 2 wachtwoorden uit mijn vorige post eens hier ingevoerd en volgens die website (geen idee hoe accuraat deze is):
1) K!(s@$214J (10 karakters) == 38.1 bits
2) OMG!erhangen3blauwehorsesindeKerstboom (38 karakters) == 186.7 bits

Om iets dichter in de buurt te komen van ons 25 karakter voorbeeld zonder al te veel gekke dingen erin:
3) erstaan25paardenindegang (24 karakters als zin) == 92.4 bits
4) erst@@n25paarden!ndegang (iets meer variatie) == 97.8 bits
5) j82H2!@eks_jf(24sja*dKaa (24 random karakters) == 120.4 bits

Kijkend naar de laatste 3 wachtwoorden zit de waarheid (voor zover deze website accuraat is) tussen onze beide aannames in; het aantal mogelijkheden ligt wat hoger dan in jouw aanname, maar het uitwisselen van letters voegt minder toe dan ik verwachtte. Alle wachtwoorden behalve nummer 1 zijn zeer goed of zelfs overkill, waarbij voor velen optie 3 de meest bruikbare is: niet al te lang, niet veel gekke wijzigingen, maar toch behoorlijk sterk.

Caelorum schreef op zaterdag 14 juni 2014 @ 22:12:
[...]
Nog afgezien van dat mensen wachtwoorden waar "moeilijke tekens" (al is het er maar 1) inzitten gewoon gaan opschrijven en naast hun computer gaan neerleggen. Of in hun portemonnee. Of op hun laptop plakken. Of op hun desktop plaatsen. Noem het maar op

Haha ja, dat soort acties maken alle toegevoegde moeilijkheidsgraad zinloos. Mijn advies wat ik mensen geef die echt veel moeite hebben met wachtwoorden onthouden is om, naast het maken van een zin, de zin zo te maken dat de website, werkplek, locatie of apparaat waarop je het wachtwoord gebruikt een geheugensteun biedt. Bijvoorbeeld: hangt er achter de pc een foto van de kinderen aan de muur, dan zou je iets kunnen verzinnen als "achwathebiktocheenlievekinderen".

Wachtwoord 1 kost bij MD5 zonder salt met 1 machine met de beste hardware nu beschikbaar alsnog 21 jaar om te kraken. Rainbow tables zijn er (zover ik weet) nog niet voor beschikbaar voor 10 tekens met special chars

StM schreef op zaterdag 14 juni 2014 @ 22:32:
Wachtwoord 1 kost bij MD5 zonder salt met 1 machine met de beste hardware nu beschikbaar alsnog 21 jaar om te kraken. Rainbow tables zijn er (zover ik weet) nog niet voor beschikbaar voor 10 tekens met special chars

Zit er ook niet in, maar MD5 heeft andere zwakheden. O.a. is het te snel en je hebt collisions. Anno 2014 is het dom om MD5 te gebruiken, vooral als er andere mogelijkheden zijn die zich in zekere zin hebben bewezen als betrouwbaarder.

I know, het wordt alleen nog steeds volop gebruikt

WernerL schreef op zaterdag 14 juni 2014 @ 21:54:
En dat was de laatste opdracht van de cursus Functional programming principles in Scala.

Ik ben helaas ook te laat begonnen. Pas in week 3 ben ik er mee bezig gegaan.
Doe dus volgende keer volledig mee.

Ben vandaag begonnen aan Algoritmes Part I van Robert Sedgewick!

Er is ook een vervolg cursus kwam ik achter. Principles of Reactive programming. Heb ik me ook vast voor ingeschreven. Ik weet alleen niet wanneer die weer van start gaat. Ik hoop snel want dat ziet er ook wel interessant uit. https://www.coursera.org/course/reactive

Is dat nou alleen maar Python en beetje C#/C++ qua aanbod? Even beetje gekeken, maar zag niet veel anders.

De cursus waar ik naar link is Scala, en er zijn ook Java cursussen. Maar ik denk dat de meeste cursussen niet gericht zijn op het leren van een nieuwe programmeertaal maar meer op principes, paradigma's, design patterns en algoritmes. Zo zijn er cursussen die zich richten op web development (in Ruby on rails geloof ik), image processing en vast nog wel meer interessante onderwerpen.

WernerL schreef op zaterdag 14 juni 2014 @ 23:01:
Er is ook een vervolg cursus kwam ik achter. Principles of Reactive programming. Heb ik me ook vast voor ingeschreven. Ik weet alleen niet wanneer die weer van start gaat. Ik hoop snel want dat ziet er ook wel interessant uit. https://www.coursera.org/course/reactive

Het vervolg is voor mij de reden geweest om nu ook Functional Programming Principles in Scala te volgen. Niet om de taal of FP te leren, maar wel om weer bezig te gaan met een ander soort 'problemen' dan ik normaalgesproken tegenkom. Wat wel leuk is, is dat dit vak wat verder de diepte in gaat dan het vak 'Concepten van Prorgammeertalen' van de TU Delft.

Uit verveling een sqlite class geschreven.
Afgezien van "select all" werkt het met alleen maar prepares en ik heb nog geen injection-bug gevonden, tenzij de developer hem zelf opzettelijk schrijft.

Is het dan nog zinvol om te escapen?

Gamebuster schreef op zaterdag 14 juni 2014 @ 14:41:
Weet iemand een plek waar je een credit card kan krijgen zonder dat ze uitgebreide background checks gaan doen? Ik krijg bij de gemiddelde bank geen CC om wat voor vage rede dan ook.

ANWB Visa card.

Die hebben bij mij nooit ergens moeilijk over gedaan, terwijl ik toendertijd bij de ABN nog geen credit card mocht hebben. De reden was dat mijn inkomen te laag was (ik was toen 19 jaar oud). Tegenwoordig heb ik echter het idee dat ze hem veel makkelijker geven (zit gewoon in het pakket).

Maar goed.

Firesphere schreef op zondag 15 juni 2014 @ 02:59:
Uit verveling een sqlite class geschreven.
Afgezien van "select all" werkt het met alleen maar prepares en ik heb nog geen injection-bug gevonden, tenzij de developer hem zelf opzettelijk schrijft.

Is het dan nog zinvol om te escapen?

Hoe kan je je afvragen of het zinvol is om te escapen?
-Ofwel zijn er karakters die nu niet kunnen voorkomen in je input omdat deze als deel van je commando sql-commando beschouwd worden, en dan moet je escapen. (opbouwen van een sql string op de klassieke manier)
-Ofwel worden alle karakters correct verwerkt als input (parameter binding bijvoorbeeld) en dan mag je niet escapen want dan zouden de escape-karakters onderdeel worden van je input.

Lethalis schreef op zondag 15 juni 2014 @ 07:58:
[...]

ANWB Visa card.

Die hebben bij mij nooit ergens moeilijk over gedaan, terwijl ik toendertijd bij de ABN nog geen credit card mocht hebben. De reden was dat mijn inkomen te laag was (ik was toen 19 jaar oud). Tegenwoordig heb ik echter het idee dat ze hem veel makkelijker geven (zit gewoon in het pakket).

Maar goed.

Ik kan bevestigen dat ABN tegenwoordig niet meer zo moeilijk doet. Ik heb paar maanden terug een creditcard bij hun aangevraagd als student (Heb ook een studentenrekening), terwijl ik geen vast inkomen heb. Deze is gewoon goedgekeurd (met een laag bestedings limiet, a 500 euro)

Bij de Argenta hier in België deden ze al helemaal niet moeilijk. Op mijn 18e een Mastercard aangevraagd, heb vaste bestedingslimiet van 2K (of was het nu 2.5K, weet het niet meer), no questions asked

Aaaarghh... om de één of andere vage reden blijft PayPal beweren dat mijn wachtwoord verkeerd is. Antwoorden op de recovery-vragen ben ik natuulijk al jaren kwijt.

Robbiedobbie schreef op zondag 15 juni 2014 @ 12:16:
[...]

Ik kan bevestigen dat ABN tegenwoordig niet meer zo moeilijk doet. Ik heb paar maanden terug een creditcard bij hun aangevraagd als student (Heb ook een studentenrekening), terwijl ik geen vast inkomen heb. Deze is gewoon goedgekeurd (met een laag bestedings limiet, a 500 euro)

DUO vergoeding wordt gezien als vast inkomen.

Als je een studentenpakket bij de Rabobank hebt kun je ook enorm makkelijk een CC aanvragen. Ze vroegen volgens mij alleen waarvoor ik 'm wilde gebruiken.

Tja waar gebruik je een CC voor? Om ermee te betalen. Wat moet je er anders mee?

Adion schreef op zondag 15 juni 2014 @ 09:13:
[...]

Hoe kan je je afvragen of het zinvol is om te escapen?
-Ofwel zijn er karakters die nu niet kunnen voorkomen in je input omdat deze als deel van je commando sql-commando beschouwd worden, en dan moet je escapen. (opbouwen van een sql string op de klassieke manier)
-Ofwel worden alle karakters correct verwerkt als input (parameter binding bijvoorbeeld) en dan mag je niet escapen want dan zouden de escape-karakters onderdeel worden van je input.

Mja, niet zoveel ervaring met SQLite, ik weet niet hoe z'n prepare er mee omgaat. Maar escapen is inderdaad niet nodig

Je grote risico zit hem er in als een malloot z'n data array keys vanuit de user invoer af laat komen. Misschien wel zo netjes om dat dicht te timmeren

StM schreef op zondag 15 juni 2014 @ 15:32:
Je grote risico zit hem er in als een malloot z'n data array keys vanuit de user invoer af laat komen. Misschien wel zo netjes om dat dicht te timmeren

Met prepared statements, en vooral, als die werken zoals je zou verwachten, is dat niet zo'n probleem toch?

Jawel, want je bouwt je columns van je prepared statement dynamisch (setupColumns) op. En dat zou je als iemand het verkeerd gebruikt wel degelijk kunnen manipuleren. Bv iets als /update?column=x&value=y

Dom, maar ik heb inmiddels wel dommere constructies gezien Puur vanuit een get of post gaat lastig worden omdat spaties in de key dan door PHP omgezet worden naar een _ (tip: hiermee kan je brakke input filters en waf's omzeilen!)

Ook zou het trouwens slim zijn als je meer velden als protected op kan geven. Als het je intentie is om het aan formulieren te binden zijn er naast de id vaak nog wel andere velden die na de initiële insert nooit meer aangepast mogen worden.

StM schreef op zondag 15 juni 2014 @ 15:41:
Jawel, want je bouwt je columns van je prepared statement dynamisch (setupColumns) op. En dat zou je als iemand het verkeerd gebruikt wel degelijk kunnen manipuleren. Bv iets als /update?column=x&value=y

Dom, maar ik heb inmiddels wel dommere constructies gezien Puur vanuit een get of post gaat lastig worden omdat spaties in de key dan door PHP omgezet worden naar een _ (tip: hiermee kan je brakke input filters en waf's omzeilen!)

Ook zou het trouwens slim zijn als je meer velden als protected op kan geven. Als het je intentie is om het aan formulieren te binden zijn er naast de id vaak nog wel andere velden die na de initiële insert nooit meer aangepast mogen worden.

In de setup, controleer ik of de kolommen wel bestaan in de database, dus daar kan je niet echt een inject op doen.

't is ook maar een experimentje, vooral omdat sqlite lekker soepel werkt op een RPi

Ow inderdaad, dan gaat het al niet meer lukken

StM schreef op zondag 15 juni 2014 @ 15:47:
Ow inderdaad, dan gaat het al niet meer lukken

Heb dat functie'tje ook al hernoemd naar checkColumns() ipv setup. Want hij doet geen setup, hij doet een check

Over Coursera: hoelang blijven de 'classes' openstaan?
Ik wil nog rustig eens alle lessen van de Scala-course kijken.
En ik kan het nergens vinden.

Weet iemand het uit eigen ervaring?
Ben wel heel benieuwd naar of ik het ga vol houden, mijn motivatie ontbreekt nogal

[ Voor 39% gewijzigd door Ryur op 15-06-2014 19:31 ]

Modjes zijn echt op verlof gok ik zo

Ryur schreef op zondag 15 juni 2014 @ 18:34:
Over Coursera: hoelang blijven de 'classes' openstaan?
Ik wil nog rustig eens alle lessen van de Scala-course kijken.
En ik kan het nergens vinden.

Weet iemand het uit eigen ervaring?
Ben wel heel benieuwd naar of ik het ga vol houden, mijn motivatie ontbreekt nogal

Als de class eindigt, kan je alles herbekijken door in je overzicht op "Past (Courses)" te klikken en dan "Class archive".

wsitedesign schreef op zondag 15 juni 2014 @ 19:20:
Modjes zijn echt op verlof gok ik zo

Hoezo ?

Rutix schreef op zondag 15 juni 2014 @ 20:20:
[...]

Hoezo ?

Mijn TR's worden niet gelezen en er wordt ook niet opgetreden. (Mijn laatste is wel afgehandeld ondertussen zie ik net, maar bon.... Heeft toch wel eventjes geduurd).

---

Vandaag ffe de fwest toer opgegaan

Yes, I'm not alone anymore

F.West98 schreef op zondag 15 juni 2014 @ 22:59:
Yes, I'm not alone anymore

Is maar éénmalig hoor, in tegenstelling tot bij jou

Morguh!

Goedemorgen!

Koffie!

F.West98 schreef op zondag 15 juni 2014 @ 22:59:
Yes, I'm not alone anymore

Kwam deze laatst tegen in m'n auto, heb je wellicht een bijbaantje bij Renault?



Ja, tis stoffig

BM schreef op maandag 16 juni 2014 @ 09:24:
[...]

Kwam deze laatst tegen in m'n auto, heb je wellicht een bijbaantje bij Renault?

[afbeelding]

Ja, tis stoffig

Sabaton, nice!

TheNephilim schreef op maandag 16 juni 2014 @ 09:32:
[...]


Sabaton, nice!

Binnen 2 weken op Graspop

BM schreef op maandag 16 juni 2014 @ 09:24:
[...]

Kwam deze laatst tegen in m'n auto, heb je wellicht een bijbaantje bij Renault?

[afbeelding]

Ja, tis stoffig

Goed geluid he?

Goede morgen! Koffie?

Rutix schreef op maandag 16 juni 2014 @ 09:43:
Goede morgen! Koffie?

Geef mij maar een kopje

_Moe_ schreef op maandag 16 juni 2014 @ 09:34:
[...]


Binnen 2 weken op Graspop

Heb ze al eens live gezien! Niet dat ik dat niet nog eens zou willen, maar dat komt er even niet van denk ik

EddoH schreef op maandag 16 juni 2014 @ 09:38:
[...]


Goed geluid he?

Geluid is prima, maar voor de rest is er een boel mis met dat systeem

TheNephilim schreef op maandag 16 juni 2014 @ 09:46:
[...]


Heb ze al eens live gezien! Niet dat ik dat niet nog eens zou willen, maar dat komt er even niet van denk ik

Heb ze ondertussen denk ik keer of 5 live gezien, maar helaas lijken ze dit jaar NL niet aan te doen (ja, ze stonden op Fortarock, maar geen 'normale' concerten zo te zien )

Rutix schreef op maandag 16 juni 2014 @ 09:43:
Goede morgen! Koffie?

Nee bedankt, ik pak een glas water

wsitedesign schreef op maandag 16 juni 2014 @ 09:45:
[...]


Geef mij maar een kopje

There u go .

BM schreef op maandag 16 juni 2014 @ 09:50:
[...]

Geluid is prima, maar voor de rest is er een boel mis met dat systeem

Dat kan ik me wel voorstellen. Heb de oplevering niet meegemaakt, maar gezien het project zo'n 2 jaar uitliep... Hele ontwikkeling was trouwens een chaos

Pff, zit een beetje vast.
Is het al biertijd?

ZaZ schreef op maandag 16 juni 2014 @ 10:06:
Pff, zit een beetje vast.
Is het al biertijd?

http://www.ishetalbiertijd.nl/

Cartman! schreef op maandag 16 juni 2014 @ 10:09:
[...]

http://www.ishetalbiertijd.nl/

Nou, een cola dan maar

EddoH schreef op maandag 16 juni 2014 @ 10:05:
[...]


Dat kan ik me wel voorstellen. Heb de oplevering niet meegemaakt, maar gezien het project zo'n 2 jaar uitliep... Hele ontwikkeling was trouwens een chaos

Jij hebt meegewerkt aan R-Link? Shame on you

Ik weet niet wat daar allemaal fout gegaan is, maar het moet een boel zijn. Grootste problemen zitten wel in de mediaspeler. Als je daar 4/5 nummers achter elkaar skipped is het gegarandeerd een crash

Ergste wat ik meegemaakt heb is een tijd terug in Belgie (was op weg naar Spa, en had m'n navigatie écht nodig) waarbij het volledige systeem begon te flippen en keer op keer crashte. Dealer kan vooralsnog niks vinden, en blijft maar updates installeren 'die het probleem zouden moeten oplossen'....

En ik word chagrijnig als ik niet naar mijn 'eigen' muziek kan luisteren

Ik vind al die systemen altijd zo enorm kut. Ik gebruik gewoon een MP3/FM transmittertje op de 12V en nooit gezeik mee.
Zelfde met inbouwnavigatie, laat maar gewoon lekker weg die meuk. En ik hoef trouwens ook niet echt youtube in mijn auto!
Daarvan weet ik nu al dat wanneer mijn fabrikant stopt met updates doorvoeren over 2 jaar ofzo dat youtube zijn interface heeft veranderd en dat ding natuurlijk uiteindelijk vol zit met 'dode' software terwijl (als het goed is) de auto toch nog flink wat jaren mee kan.
Net als die 100 andere apps die zitten ingebouwd.

Helemaal mee eens hoor Nu is de navigatie van R-Link redelijk oke, aangezien dat gewoon TomTom is, wat prima werkt. Qua updates hoef ik me niet zo heel druk te maken, ik lever over 3,5 jaar deze auto weer in, maar als je van je eigen zuurverdiende geld zo'n auto koopt kan ik me voorstellen dat je je flink genaaid voelt als de ondersteuning stopt.

BM schreef op maandag 16 juni 2014 @ 10:23:
[...]

Jij hebt meegewerkt aan R-Link? Shame on you

Ik weet niet wat daar allemaal fout gegaan is, maar het moet een boel zijn. Grootste problemen zitten wel in de mediaspeler. Als je daar 4/5 nummers achter elkaar skipped is het gegarandeerd een crash

Ergste wat ik meegemaakt heb is een tijd terug in Belgie (was op weg naar Spa, en had m'n navigatie écht nodig) waarbij het volledige systeem begon te flippen en keer op keer crashte. Dealer kan vooralsnog niks vinden, en blijft maar updates installeren 'die het probleem zouden moeten oplossen'....

En ik word chagrijnig als ik niet naar mijn 'eigen' muziek kan luisteren

Ja, maar alleen aan de platform audio kant (implementeren van audio API's voor de applicatiebouwers, handsfree, navigatie instructies etc etc). En ik durf te zeggen dat de meeste bugs aan de applicatiekant zitten
Het hele systeem is Android, en de mediaspeler (eigenlijk het hele systeem) heeft echt serieus veel issues met geheugenmanagement.

Overigens is het hele systeem door TomTom ontwikkeld.

alienfruit schreef op maandag 16 juni 2014 @ 11:11:
Stond ik toch mooi op het treinstation. Accepteren geen Visa pinpassen. Zucht. Lekker handig NS!!

Visa heeft dan ook alleen maar creditcards, en die zijn te duur voor de gemiddelde transactie bij de NS.

Als Apple nu eens officieel de iPhone 6 incl. release date aankondigt... weet ik tenminste of ik nu een 5s moet kopen of toch wachten. Want mijn oude 4 gaat het niet lang meer volhouden.

MueR schreef op maandag 16 juni 2014 @ 11:14:
[...]

Visa heeft dan ook alleen maar creditcards, en die zijn te duur voor de gemiddelde transactie bij de NS.

Visa heeft ook hun Visa Electron debitcards, maar die worden in Nederland wel op meer plaatsen niet geaccepteerd. Dus dat si NS niet aan te rekenen.
Het is eerder een WTF dat iemand er nu pas achterkomt dat je in Nederland eigenlijk alleen maar met Maestro debitkaarten kunt pinnen (waar het in bijvoorbeel dBelgie op veel plekken mogelijk is om te pinnen met Maestro, Electron, maar ook Visa / Mastercard creditcards.)

alienfruit schreef op maandag 16 juni 2014 @ 11:11:
Stond ik toch mooi op het treinstation. Accepteren geen Visa pinpassen. Zucht. Lekker handig NS!!

Jup, alleen bij de servicebalies op de grotere stations. Er is maar 1 plek waar de automaten het ook accepteren en dat is Schiphol.

Nou ja, ik heb niet veel geld op mijn Maestro kaart staan en dan zit je dan op een treinstation zonder kantoor om kaartjes te kopen. Omdat ze al mijn andere paskaarten (Visa, Plus) niet accepteren en de automaat slikt ook geen briefgeld. Ik vind het wel stom.

Maar goed, je hebt ook gezeik met die OV-chipkaart die ook totaal toerist onvriendelijk is. €7,50 voor de kaart dan minimaal €25 op de kaart om te kunnen reizen met de trein

[ Voor 11% gewijzigd door alienfruit op 16-06-2014 11:24 ]

EddoH schreef op maandag 16 juni 2014 @ 11:11:
[...]


Ja, maar alleen aan de platform audio kant (implementeren van audio API's voor de applicatiebouwers, handsfree, navigatie instructies etc etc). En ik durf te zeggen dat de meeste bugs aan de applicatiekant zitten
Het hele systeem is Android, en de mediaspeler (eigenlijk het hele systeem) heeft echt serieus veel issues met geheugenmanagement.

Overigens is het hele systeem door TomTom ontwikkeld.

Aha Ik kreeg aan alles al het idee dat het ding gigantisch uit z'n resources loopt. Voelt op teveel punten aan alsof ze beknibbeld hebben op de processor. Maar geheugen kan natuurlijk net zo goed

---

Hier ook memory issues. Web service voor het systeem waar ik aan werk loopt na een tijd (1 dag, soms 4 dagen, soms paar weken) uit z'n geheugen en crashed dan. Praktisch geen pijl op te trekken wanneer het gebeurd, en al helemaaaaal geen idee wat het veroorzaakt

[ Voor 15% gewijzigd door BM op 16-06-2014 11:25 ]

BM schreef op maandag 16 juni 2014 @ 11:24:
[...]
Hier ook memory issues. Web service voor het systeem waar ik aan werk loopt na een tijd (1 dag, soms 4 dagen, soms paar weken) uit z'n geheugen en crashed dan. Praktisch geen pijl op te trekken wanneer het gebeurd, en al helemaaaaal geen idee wat het veroorzaakt

Je kan toch op het moment dat het geheugen gebruik te hoog wordt gewoon een memory dump bekijken. Vergelijk die met eentje waar nog het gebruik nog binnen de perken is, en je hebt meestal redelijk snel te pakken.

OkkE schreef op maandag 16 juni 2014 @ 11:18:
Als Apple nu eens officieel de iPhone 6 incl. release date aankondigt... weet ik tenminste of ik nu een 5s moet kopen of toch wachten. Want mijn oude 4 gaat het niet lang meer volhouden.

Hier ook aan het wachten. Heb ook nog de 4 en de accu gaat nog maar zo'n 3 uur mee. Heb nu een externe accu dr bij die meer dan een week meegaat

Reken op een aankondiging in september en Nederlandse beschikbaarheid in oktober...

alienfruit schreef op maandag 16 juni 2014 @ 11:23:
Nou ja, ik heb niet veel geld op mijn Maestro kaart staan en dan zit je dan op een treinstation zonder kantoor om kaartjes te kopen. Omdat ze al mijn andere paskaarten (Visa, Plus) niet accepteren en de automaat slikt ook geen briefgeld. Ik vind het wel stom.

Maar goed, je hebt ook gezeik met die OV-chipkaart die ook totaal toerist onvriendelijk is. €7,50 voor de kaart dan minimaal €25 op de kaart om te kunnen reizen met de trein

Er is ook gewoon een losse kaart, betaal je alleen 1 euro meer per reis. Prima dus.
In veel landen is het overigens niet anders, dat je bijvoorbeeld zo'n dag kaartje -moet- kopen om te reizen. Zie de metro in barcalona bijv.

Woy schreef op maandag 16 juni 2014 @ 11:37:
[...]

Je kan toch op het moment dat het geheugen gebruik te hoog wordt gewoon een memory dump bekijken. Vergelijk die met eentje waar nog het gebruik nog binnen de perken is, en je hebt meestal redelijk snel te pakken.

Dat gaat waarschijnlijk de aanpak worden ja. Moet alleen nog even uitzoeken hoe ik die dumps kan (laten) maken, en een schietgebedje doen dat onze beheerders mee werken.

StM schreef op maandag 16 juni 2014 @ 11:52:
Reken op een aankondiging in september en Nederlandse beschikbaarheid in oktober...

Ik hou het nog wel vol tot die tijd...

wouterwouter2 schreef op maandag 16 juni 2014 @ 11:49:
[...]

Hier ook aan het wachten. Heb ook nog de 4 en de accu gaat nog maar zo'n 3 uur mee. Heb nu een externe accu dr bij die meer dan een week meegaat

Mijn accu is nog wel goed, alleen mijn Home-button werkt nog maar zo'n 25% van de keren dat ik 'm indruk. En hij is ook gewoon erg traag aan het worden met starten van Apps & in gebruik.
.

StM schreef op maandag 16 juni 2014 @ 11:52:
Reken op een aankondiging in september en Nederlandse beschikbaarheid in oktober...

Daar ga ik ook wel een beetje van uit, maar het zou fijn zijn als het zeker/officieel is. Dan weten we tenminste of alle geruchten waar zijn, wat de specs precies worden en kan ik beter een beslissing nemen of ik misschien als nog een 5s koop of de 6.

Dido schreef op maandag 16 juni 2014 @ 11:19:
[...]

Visa heeft ook hun Visa Electron debitcards, maar die worden in Nederland wel op meer plaatsen niet geaccepteerd. Dus dat si NS niet aan te rekenen.
Het is eerder een WTF dat iemand er nu pas achterkomt dat je in Nederland eigenlijk alleen maar met Maestro debitkaarten kunt pinnen (waar het in bijvoorbeel dBelgie op veel plekken mogelijk is om te pinnen met Maestro, Electron, maar ook Visa / Mastercard creditcards.)

Ik heb een card met VPay en dat is ook van Visa. Ik heb nog nooit gehad dat ik daar niet mee kan pinnen.

OkkE schreef op maandag 16 juni 2014 @ 11:59:
[...]

Mijn accu is nog wel goed, alleen mijn Home-button werkt nog maar zo'n 25% van de keren dat ik 'm indruk. En hij is ook gewoon erg traag aan het worden met starten van Apps & in gebruik.

Je kunt de home button ook op je scherm plaatsen.

OkkE schreef op maandag 16 juni 2014 @ 11:59:
[...]

Daar ga ik ook wel een beetje van uit, maar het zou fijn zijn als het zeker/officieel is. Dan weten we tenminste of alle geruchten waar zijn, wat de specs precies worden en kan ik beter een beslissing nemen of ik misschien als nog een 5s koop of de 6.

Dat kan je vergeten