Veranderend password - Stoute bugs

woensdag 8 december 2004 15:34

Acties:

Topicstarter

wanneer ik inlog, veranderd het wachtwoord met het klikken op de Login button. Het passwordveld wordt dan gevuld met een heleboel meer sterretjes dan ik tekens in mijn password heb (ik zie het veranderen)

maar als ik nu nogmaals naar het inlog scherm (na uit te loggen) dan is mijn password al ingevuld, maar niet mijn eigen pass, maar de hele lange tekenreeks zoals hiervoor beschreven

Het maakt mij verder niet zoveel uit, maar ik vind het nogal een raar iets

woensdag 8 december 2004 15:36

Acties:

chem

Reist de wereld rond

Dat komt omdat je password met een javascript-functie wordt gecodeerd. Zo kunnen we zonder SSL-verbinding toch wat extra beveiliging bieden bij het inloggen.

Mocht je bv. op een LAN zitten via een onbetrouwbare proxy, kan men toch niet "zomaar" je username/password lezen.

Klaar voor een nieuwe uitdaging.

woensdag 8 december 2004 15:39

Acties:

418O2

Topicstarter

oke, maar dat gecodeerde password wordt dus door mijn browser (FF) onthouden als door mij ingevoerd password ?

woensdag 8 december 2004 16:06

Acties:

crisp

Devver

Pixelated

FF geen wachtwoord laten onthouden, of inloggen via de normale login zonder versleuteling...

[ Voor 49% gewijzigd door crisp op 08-12-2004 16:07 ]

Intentionally left blank

woensdag 8 december 2004 16:17

Acties:

Verwijderd

crisp schreef op woensdag 08 december 2004 @ 16:06:
FF geen wachtwoord laten onthouden, of inloggen via de normale login zonder versleuteling...

Tools > Options > Privacy > Saved passwords

woensdag 8 december 2004 16:37

Acties:

frickY

Of het javascript aanpassen zodat hij niet de waarde in het password-veld wijzigt na codering, maar een hidden-field gebruikt

woensdag 8 december 2004 16:40

Acties:

crisp

Devver

Pixelated

frickY schreef op woensdag 08 december 2004 @ 16:37:
Of het javascript aanpassen zodat hij niet de waarde in het password-veld wijzigt na codering, maar een hidden-field gebruikt

Dan kan je zonder JS dus niet meer inloggen hetgeen een usability issue is

Maar je hebt wel gelijk en er zijn ook wel andere manieren te bedenken zoals een compleet hidden form, en dat submitten. Het stond ook nog op mijn lijstje

Intentionally left blank

woensdag 8 december 2004 23:09

Acties:

Spider.007

* Tetragrammaton

crisp schreef op woensdag 08 december 2004 @ 16:40:
[...]

Dan kan je zonder JS dus niet meer inloggen hetgeen een usability issue is

Je wilde zeggen dat het md5 javascriptje wel werkte zonder javascript ingeschakelt?

Maar je hebt wel gelijk en er zijn ook wel andere manieren te bedenken zoals een compleet hidden form, en dat submitten. Het stond ook nog op mijn lijstje

Inderdaad; de enige oplossing is een compleet ander form gebruiken omdat een ander inputfield als resultaat zal hebben dat zowel gecodeerd; als ongecodeerd worden verstuurd

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 8 december 2004 23:22

Acties:

crisp

Devver

Pixelated

Spider.007 schreef op woensdag 08 december 2004 @ 23:09:
[...]
Je wilde zeggen dat het md5 javascriptje wel werkte zonder javascript ingeschakelt?

Nee, maar als JS disabled is of de browser is niet JS-capable, dan zal het wachtwoord gewoon plain-text verstuurd worden zonder indicatie dat het versleuteld is. Dus dan werkt het ook gewoon (probeer het maar uit).

[ Voor 4% gewijzigd door crisp op 08-12-2004 23:23 ]

Intentionally left blank

donderdag 9 december 2004 11:20

Acties:

crisp

Devver

Pixelated

lokaal done

Intentionally left blank