Toon posts:

Secure Login en Zoeken

Pagina: 1
Acties:
  • 69 views sinds 30-01-2008

dinsdag 24 februari 2004 11:46

Acties:

Verwijderd

Topicstarter
Komt er binnenkort (of misschien is het ergens al...) nog de mogelijkheid om 'secure' (bv via https) in te loggen? Met het steeds groeiende aantal WiFi hotspots (en dus in beginsel untrusted networks) waar ik steeds vaker gebruik van maak met mijn laptop, vind ik het geen prettig idee om 'clear text' users/pass over te sturen (wel om te surfen e.d.).

Tweede vraag: [snip: Je hebt gelijk, Dark_Rain, het was me nog niet eens opgevallen.. 8)7 t0f ! _/-\o_ ]

[ Voor 54% gewijzigd door Verwijderd op 24-02-2004 11:56 ]

dinsdag 24 februari 2004 11:53

Acties:
  • darkrain
  • Registratie: Augustus 2001
  • Laatst online: 22:24

darkrain

Moderator Discord / General Chat

Geniet. Punt.

Voor de tweede vraag kun je toch de quicksearch met Dit forum gebruiken?

Tweakers Discord

dinsdag 24 februari 2004 11:56

Acties:

Verwijderd

Topicstarter
(quote ipv edit)

[ Voor 97% gewijzigd door Verwijderd op 24-02-2004 11:56 ]

dinsdag 24 februari 2004 12:12

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Nu online

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Dit is al eerder gevraagd :) Ik kan zelf helaas het topic niet meer vinden, maar misschien iemand met betere search skills wel ;)

dinsdag 24 februari 2004 12:19

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

We Are Borg schreef op 24 februari 2004 @ 12:12:
Dit is al eerder gevraagd :) Ik kan zelf helaas het topic niet meer vinden, maar misschien iemand met betere search skills wel ;)
dank :+

Secure login

dinsdag 24 februari 2004 14:47

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Oftewel:

In React 1.9 zou het erin moeten zitten (MD5 encryptie aan clientkant dus) :)

[ Voor 26% gewijzigd door Spider.007 op 24-02-2004 14:48 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

dinsdag 24 februari 2004 16:01

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Nu online

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Erkens schreef op 24 februari 2004 @ 12:19:
[...]

dank :+

Secure login
Wat doet dat topic nu weer in LA :+ ?

woensdag 25 februari 2004 00:18

Acties:
  • decramy
  • Registratie: December 2001
  • Laatst online: 17:49

decramy

root@birdie:~#

Het zit dus in 1.9, maar ik merk er niets van?

Hoe ik denk dat het best veilig in elkaar zit:
Client MD5t w8w00rd
Client verstuurt MD5t w8w00rd
MD5t w8w00rd kan evt opgevangen worden
Server MD5t MD5hash
Server controleert

In de database staat dus eigenlijk MD5(MD5($password))

Veilig??

20*375Wp met Enphase IQ7+ micro's | Stiebel Eltron HGE Water/Water WP 9kW | Tesla M3, powered by SmartEVSE | Servertje @ www.coloclue.net

woensdag 25 februari 2004 00:26

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

client-side een WW MD5-en heeft weinig zin als je daarbij geen gebruik maakt van een challenge die je in die MD5 verwerkt lijkt me...

Intentionally left blank

donderdag 26 februari 2004 12:40

Acties:
  • chem
  • Registratie: Oktober 2000
  • Laatst online: 11:34

chem

Reist de wereld rond

crisp de md5 is een md5 van reactid+pass+userid.

Klaar voor een nieuwe uitdaging.

donderdag 26 februari 2004 21:54

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

chem schreef op 26 februari 2004 @ 12:40:
crisp de md5 is een md5 van reactid+pass+userid.
ik had ook niet anders verwacht eigenlijk ;)

Intentionally left blank

zondag 18 juli 2004 19:29

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

misschien eens onderzoeken voor GoT :)

Intentionally left blank

zondag 18 juli 2004 19:38

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Volgens Kees in [rml][ Feature] Beveiligde login (SSL?)[/rml] staat een SSL-verbinding met GoT op de ToDo, dus dat zal al een boel schelen :) Wachtwoorden via een SSL-tunnel hoeven dan niet ge-md5-ed te worden lijkt me :)

maandag 19 juli 2004 08:14

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

tsja, op zich lijkt het me niet zo moeilijk om die md5 hashing met een optie in te bouwen, maar ik mis daarover de documentatie van Parse, en in base_grey zit het niet

Intentionally left blank

maandag 19 juli 2004 11:24

Acties:
  • chem
  • Registratie: Oktober 2000
  • Laatst online: 11:34

chem

Reist de wereld rond

crisp, je moet een data[passwordencryption] = 'md5join' meegeven, en data[password] is dan md(Password.$username.$reactid) (dus met JS het veld aanpassen).

Klaar voor een nieuwe uitdaging.

maandag 19 juli 2004 12:38

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

a, nice; lijkt me niet zo moeilijk om in te bouwen met een tickboxje 'versleutel mijn wachtwoord' :)

Intentionally left blank

donderdag 22 juli 2004 08:16

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

chem: ik neem aan dat ik hex_md5 moet hebben, maar met hex_md5(pwd+uname+reactid) krijg ik "encrypted password not correct for user"

Intentionally left blank

donderdag 22 juli 2004 09:15

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Het overschrijven van het password field met de md5 waarde van pwd+uname+reactId heeft wel als nadeel dat eventuele password managers niet meer zullen werken op GoT tenzij het reactId statisch wordt. Dit is tegelijkertijd niet te omzeilen omdat het hele punt van deze beveiliging juist is dat er niet telkens met dezelfde gegevens is in te loggen. Of is hier een aanpassing in te maken?

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

donderdag 22 juli 2004 09:19

Acties:
  • justmental
  • Registratie: April 2000
  • Niet online

justmental

my heart, the beat

Het wachtwoord versleutelen heeft natuurlijk nog niet heel veel zin omdat het reactid gewoon met elk request mee komt.

Who is John Galt?

donderdag 22 juli 2004 09:27

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

justmental schreef op 22 juli 2004 @ 09:19:
Het wachtwoord versleutelen heeft natuurlijk nog niet heel veel zin omdat het reactid gewoon met elk request mee komt.
Het zou inderdaad veiliger zijn om hier een md5hash van een (timestamp in minuten+keyphrase) mee te sturen ipv het reactId. Tegelijkertijd krijg je bij iedere hernieuwde inlogpoging een nieuw reactId en is je vorige md5hash dus niet meer te gebruiken :)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

donderdag 22 juli 2004 09:55

Acties:
  • chem
  • Registratie: Oktober 2000
  • Laatst online: 11:34

chem

Reist de wereld rond

crisp schreef op 22 juli 2004 @ 08:16:
chem: ik neem aan dat ik hex_md5 moet hebben, maar met hex_md5(pwd+uname+reactid) krijg ik "encrypted password not correct for user"
Wat ik ooit gebouwd heb was...

HTML:
1

onSubmit="if(md5_vm_test()) {document.getElementById('pwd').value = hex_md5(hex_md5(document.getElementById('pwd').value) + document.getElementById('username').value + '{board_reactid}'); document.getElementById('pwdenc').value='md5join'; }"

Klaar voor een nieuwe uitdaging.

donderdag 22 juli 2004 10:59

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

ah, dus md5( md5(pwd) + uname + reactid ) :)
justmental schreef op 22 juli 2004 @ 09:19:
Het wachtwoord versleutelen heeft natuurlijk nog niet heel veel zin omdat het reactid gewoon met elk request mee komt.
Het is ook geen perfect mechanisme, dan zou je een eenmalige challenge moeten gebruiken en die meehashen (reactid is statisch voor een sessie), maar het is in ieder geval al wel een stukje veiliger. Zelfs al zou je de hash opvangen moet je ook nog een sessie kapen, en je kan niet zomaar het wachtwoord achterhalen.
Spider.007 schreef op 22 juli 2004 @ 09:27:
[...]

Het zou inderdaad veiliger zijn om hier een md5hash van een (timestamp in minuten+keyphrase) mee te sturen ipv het reactId. Tegelijkertijd krijg je bij iedere hernieuwde inlogpoging een nieuw reactId en is je vorige md5hash dus niet meer te gebruiken :)
Ik heb het nooit geverifieerd of je na iedere inlogpoging een nieuw reactid krijgt, maar dat zou best kunnen. In dat geval is de opgevangen hash natuurlijk waardeloos, en is het mechanisme naar mijn mening best wel veilig.
Spider.007 schreef op 22 juli 2004 @ 09:15:
Het overschrijven van het password field met de md5 waarde van pwd+uname+reactId heeft wel als nadeel dat eventuele password managers niet meer zullen werken op GoT tenzij het reactId statisch wordt. Dit is tegelijkertijd niet te omzeilen omdat het hele punt van deze beveiliging juist is dat er niet telkens met dezelfde gegevens is in te loggen. Of is hier een aanpassing in te maken?
Als je bezorgt bent om je veiligheid gebruik je waarschijnlijk geen passwordmanager ;)
In ieder geval is het een optionele feature; je moet een vinkje zetten op de login pagina om het te activeren :)

[ Voor 140% gewijzigd door crisp op 22-07-2004 11:09 ]

Intentionally left blank

donderdag 22 juli 2004 22:58

Acties:
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

werkt! \o/

Intentionally left blank

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq