Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Feature] Aparte error bij beveiligde inlogpoging zonder JS

Pagina: 1
Acties:
  • 26 views sinds 30-01-2008

maandag 30 augustus 2004 11:29

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Topicstarter
Als je nu je Javascript uit zet (wat érg makkelijk gaat in Firefox en volgens mij toch wel redelijk vaak gebeurt (ik heb hem sowieso erg strak afgesteld), dan krijg je de volgende error bij een inlogpoging:


code:
1
2

Het wachtwoord voor deze gebruiker is incorrect.
(interne identificatie: user::validate_login::no_password_match)

Het lijkt mij stukken netter dat in eerste instantie de optie disabled is (je weet wel, dan wordt 't grijs en kun je er niet op klikken) en dat ie dan door JS enabled wordt.
Als een gebruiker dan geen JS aan heeft (eventueel buiten zijn weten om), dan kan hij zich ook niet vergissen.


Mocht dat niet mogelijk zijn, dan kun je bij het vergelijken van de hashes altijd nog controleren of het toevallig het wachtwoord unencrypted was en een waarschuwing geven dat het wachtwoord desondanks de encryptie-optie tóch onveilig is verstuurd.


Sorry dat ik er nu pas mee kom, maar ik dacht er opeens aan :P

[ Voor 4% gewijzigd door Osiris op 30-08-2004 11:30 ]

maandag 30 augustus 2004 11:43

Acties:
  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Tjah.. hoe ver wil je gaan in dit soort dingen? :) Het is waarschijnlijk eenvoudig te implementeren door het vinkje met behulp van JavaScript aan te zetten en standaard uit; maar als je als gebruiker bewust JavaScript uitschakelt is het toch niet zo vreemd dat iets met de omschrijving 'javascript' niet meer werkt? :)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

dinsdag 31 augustus 2004 16:21

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Topicstarter
Als half autistje houd ik van consequentie :P

PHP:
1

$importance = "nice2have";


Laten we 't daar dus maar op houden :)

dinsdag 31 augustus 2004 16:24

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Laatst online: 19:22

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Mag ik vragen waarom zoiets met JS wordt gecontrolleerd en niet puur met php ?

dinsdag 31 augustus 2004 16:38

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Topicstarter
We Are Borg schreef op 31 augustus 2004 @ 16:24:
Mag ik vragen waarom zoiets met JS wordt gecontrolleerd en niet puur met php ?
Client-side wordt met gebruik van Javascript je ingevulde wachtwoord omgezet naar de MD5-hash van dat wachtwoord (let maar eens heel goed op als je inlogd, opeens zie je je hele password-veld vol met *** staan (32 als t goed is)).
Vervolgens wordt er (met PHP uiteraard) óf de wachtwoorden vergeleken óf de md5 van die wachtwoorden :)

Aangezien PHP server-side is, heeft het nogal weinig nut om het alleen via PHP te doen, niet? :)

[ Voor 10% gewijzigd door Osiris op 31-08-2004 16:39 ]

dinsdag 31 augustus 2004 16:49

Acties:
  • We Are Borg
  • Registratie: April 2000
  • Laatst online: 19:22

We Are Borg

Moderator Wonen & Mobiliteit / General Chat
Thanks voor de uitleg Osiris. Klinkt logisch :)

dinsdag 31 augustus 2004 20:52

Acties:
  • Suepahfly
  • Registratie: Juni 2001
  • Laatst online: 16-10 13:42

Suepahfly

Ik ben er eigenlijk ook wel voor dat 'versleuteling' standaard aan staat :)
offtopic:
Gebeurd dit serieus met md5 zonder challence responce ? (ik heb nog niet in de source gekeken).
Als dit het geval is waarom? Zeker nu de zwakte van md5 is aangetoont

dinsdag 31 augustus 2004 21:04

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

function encrypt_password(form)
{
    if (form.elements['data[passwordencryption]'].checked)
    {
        if (md5_vm_test())
        {
            var pwd = form.elements['data[password]'].value;
            var uname = form.elements['data[username]'].value;
            var reactid = form.elements['data[reactid]'].value;
            form.elements['data[password]'].value = 
hex_md5(hex_md5(pwd)+uname+reactid);
        }
        else
        {
            form.elements['data[passwordencryption]'].checked = false;
            return confirm('Je browser is niet in staat je wachtwoord
 te versleutelen\n\nLog in zonder versleuteling?');
        }
    }
    return true;
}


Er wordt dus gebruik gemaakt van je wachtwoord, username en ReactID :)

[ Voor 8% gewijzigd door Osiris op 31-08-2004 21:05 . Reden: Wrapping van de JScript ]

donderdag 2 september 2004 14:43

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 19:21

crisp

Devver

Pixelated

done @ local :)

Intentionally left blank

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq