Toon posts:

[input] password veld geen waarde uit bron

Pagina: 1
Acties:

maandag 7 juni 2004 09:32

Acties:
  • semicon
  • Registratie: Augustus 2003
  • Laatst online: 20-08-2025

semicon

Topicstarter
hallo,

Ik heb even wat hulp nodig met het volgende:
Op een bepaalde pagina in een script dat ik geschreven heb wordt voor het configuratiegedeelte bepaalde input velden gevult.

Nu zit ik met het probleem dat je het password niet kan zien in het inputveld (type=password), maar wel ingevuld staat (dus van die ***** ), het nadeel is als iemand dan in de broncode kijkt is het password achterhaald.

Heeft iemand daar een oplossing voor ??

Ik moet het password laten staan, want het zijn invulgegevens voor bepaalde settings.

maandag 7 juni 2004 09:45

Acties:
  • Willem
  • Registratie: Februari 2001
  • Nu online

Willem

Is dat niet een kwestie van lokaal instellen dat passwords niet onthouden mogen worden?
Lijkt me een beetje onlogische oorzaak/gevolg redenering :)

[ Voor 26% gewijzigd door Willem op 07-06-2004 09:45 ]

Motor (of auto) onderhoud bijhouden

maandag 7 juni 2004 09:47

Acties:
  • André
  • Registratie: Maart 2002
  • Laatst online: 18-05 16:30

André

Analytics dude

Als dat paswoord in de broncode staat heb je hem er dus zelf al met asp/php ingezet. Dat moet je niet doen. Gewoon de autoinvul functie van IE of ander client-side zut zijn werk laten doen.

[ Voor 28% gewijzigd door André op 07-06-2004 09:47 ]

maandag 7 juni 2004 09:47

Acties:
  • semicon
  • Registratie: Augustus 2003
  • Laatst online: 20-08-2025

semicon

Topicstarter
Nee dat "bedoel" ik denk ik niet, hier een voorbeeld,

code:
1
2

<input type="text" value="JouUserName">
<input type="password" value="JouPassWord!">


Je ziet niks op de pagina, maar in de bron dus wel.. want jou password is dan "JouPassWord!"

duidelijker?

[ Voor 19% gewijzigd door semicon op 07-06-2004 09:48 ]

maandag 7 juni 2004 09:48

Acties:

Verwijderd

Zet dat er dan niet in. :)

maandag 7 juni 2004 09:52

Acties:
  • Tjark
  • Registratie: Juni 2000
  • Laatst online: 22-05 11:44

Tjark

DON'T PANIC

waarom kan iemand op een pagina komen dat een password bevat die hij zelf niet zou weten/kennen?

Dan mag ie toch niet op die pagina komen?

[ Voor 5% gewijzigd door Tjark op 07-06-2004 09:52 ]

*insert signature here

maandag 7 juni 2004 09:55

Acties:
  • semicon
  • Registratie: Augustus 2003
  • Laatst online: 20-08-2025

semicon

Topicstarter
Is wel waar ja, maar we zitten met verschillende "admins" te werken, en het gaat erom dat een mail wordt toegekend voor een scripts, admins kunnen daar belangrijke dingen instellen zoals welk systeem voor mailen enzo (cdosys jmail enz) alleen dan kunnen ze ook smtp password veranderen... dat mag ook wel, maar iemand anders mag het password niet uitlezen..

maandag 7 juni 2004 09:57

Acties:
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 12:00

Janoz

Moderator Devschuur®

!litemod

Wat je wil is niet mogenlijk. Zodra iemand het formulier op stuurt moet het wachtwoord meegezonden worden. De browser moet het wachtwoord dus weten. Als een client programma beaalde gegevens moet kennen, dan kan de gebruiker er automatisch ook bij.

Een mogenlijke oplossing zou kunnen zijn om gebruik te maken van een extra frontend of proxy die het formulier doorstuurt naar de daadwerkelijke pagina en dan het wachtwoord toevoegd. Dit is dus een extra tussenliggende computer.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 7 juni 2004 09:57

Acties:
  • CrashOne
  • Registratie: Juli 2000
  • Niet online

CrashOne

oOoOoOoOoOoOoOoOoOo

Waarom moet dat wachtwoord dan clientside bekand zijn?

Huur mij in als freelance SEO consultant!

maandag 7 juni 2004 09:57

Acties:
  • André
  • Registratie: Maart 2002
  • Laatst online: 18-05 16:30

André

Analytics dude

semicon schreef op 07 juni 2004 @ 09:55:
Is wel waar ja, maar we zitten met verschillende "admins" te werken, en het gaat erom dat een mail wordt toegekend voor een scripts, admins kunnen daar belangrijke dingen instellen zoals welk systeem voor mailen enzo (cdosys jmail enz) alleen dan kunnen ze ook smtp password veranderen... dat mag ook wel, maar iemand anders mag het password niet uitlezen..
Kun je dan niet een link gebruiken met user+pass in de querystring? Dan kun je die uitlezen, controleren en dan doorsturen naar de juiste pagina.

maandag 7 juni 2004 10:00

Acties:
  • bigbeng
  • Registratie: Augustus 2000
  • Laatst online: 26-11-2021

bigbeng

Je kunt het passwordveld gewoon leeg laten en het script dat het wachtwoord verandert er pas op laten reageren als het wachtwoord gevuld is.

Of ipv het veldje een knop opnemen dat linkt naar een aparte pagina om het wachtwoord te wijzigen.

Op deze manier hou je de password data geheim, ook voor admins.

maandag 7 juni 2004 10:04

Acties:
  • semicon
  • Registratie: Augustus 2003
  • Laatst online: 20-08-2025

semicon

Topicstarter
yea, goed idee, gewoon leeg laten, als er iets ingevult is wijzigen, en zo niet gegevens uit een session halen.. :o

maandag 7 juni 2004 10:07

Acties:
  • André
  • Registratie: Maart 2002
  • Laatst online: 18-05 16:30

André

Analytics dude

Je kunt ook na het laden van de pagina met xmlhttp het paswoord van de server halen en invullen, dan staat hij niet in de broncode :)

maandag 7 juni 2004 10:08

Acties:

Verwijderd

Het veld leeg laten lijkt mij niet gebruiksvriendelijk.... dan lijkt het net alsof het password niet wordt opgelslagen.

Ik zou het aan karakters van het password in sterretjes in het input veld neer zetten dus als het password "joupass" is dat de value van het input veld "*******" is. En dan alleen het password in de database veranderen als het nieuwe password ongelijk is aan de sterretjes... moet te doen zijn met asp/php

maandag 7 juni 2004 10:10

Acties:
  • André
  • Registratie: Maart 2002
  • Laatst online: 18-05 16:30

André

Analytics dude

Verwijderd schreef op 07 juni 2004 @ 10:08:


Ik zou het aan karakters van het password in sterretjes in het input veld neer zetten dus als het password "joupass" is dat de value van het input veld "*******" is. En dan alleen het password in de database veranderen als het nieuwe password ongelijk is aan de sterretjes... moet te doen zijn met asp/php
Dat is precies wat het input type="password" veld doet, probleem is dat als je dat bij het laden doet dat het paswoord al in je broncode staat.

maandag 7 juni 2004 10:11

Acties:

Verwijderd

ik zeg toch ook de value van het input veld zodat er in de broncode dit staat:

<input type="password" value="*******">

ipv

<input type="password" value="joupass">

maandag 7 juni 2004 10:18

Acties:
  • Bosmonster
  • Registratie: Juni 2001
  • Laatst online: 10-05 18:53

Bosmonster

*zucht*

Verwijderd schreef op 07 juni 2004 @ 10:08:
Het veld leeg laten lijkt mij niet gebruiksvriendelijk.... dan lijkt het net alsof het password niet wordt opgelslagen.
Dat is een kwestie van juist aangeven. Als je duidelijk zet: "Wachtwoord wijzigen" en dan 2 lege password velden snapt iedereen dat je daar je wachtwoord kunt wijzigen. Een duidelijke melding achteraf maakt het dan af.

Een box met sterretjes voegt weinig toe, op een mogelijke gevoel van onveiligheid bij de gebruiker na dan.

maandag 7 juni 2004 10:32

Acties:

Verwijderd

Ja dat is ook weer zo, ookal weer de gebruiker die onveiligheid vermoed waarschijnlijk hoe html werkt en zal het dan ook wel ff checke

Maargoed het is een mogelijke en veilige oplossing
Pagina: 1
Reageer