DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Daar heb ik sinds een week of zo ineens erg last van. Vervelend. Is al zeker de vierde keer dat ik maatregelen moet nemen op mijn portfolio`tje tegen spam, waar maar iets van 40 bezoekers per dag op komen of zo. Gastenboek en Prikbordje heb ik al tig keren de 'beveiliging' van moeten aanpassen omdat d'r elke keer maar getracht werd te spammen. Vaak ook nog nutteloze spam, aangezien ze met hun URLs niet door m'n spamwoordenfilter komen en alleen maar een berichtje als 'nice...' achterlaten.quote:Op maandag 28 mei 2007 23:16 schreef WyriHaximus het volgende:
[..]
Wat ik persoonlijk zou doen is perdag gegevens die ik nodig heb om statestieken te genereren op te slaan. En dan eens per week de gegevens voor die week uit die van de 7 dagen in die week halen. En dan op die fiets verder . Zo kan je van alle dagen stats laten zien maar ook van alles over de gehelen reccord tijd. Dit is handig als je ook reports wilt hebben over een bepaalde tijd waarin je een bepaalde actie heb gehad.
Anyway zolang je je URL opslaat heb je automatish ook je $_GET . Zelf sla ik ook referers op en een waarschuwing, wat tegenwoordig ook vaak word gedaan is referer spamming, komt er op neer dat ze een random hit op je site doen met de referer van de site die aandacht moet hebben volgens hun. Deze referer zie je dan vaak verschijnen in stats. Het is iets om op te latten als je je stats ook andere laat zien .
. Zo kan je van alle dagen stats laten zien maar ook van alles over de gehelen reccord tijd. Dit is handig als je ook reports wilt hebben over een bepaalde tijd waarin je een bepaalde actie heb gehad.
. Zelf sla ik ook referers op en een waarschuwing, wat tegenwoordig ook vaak word gedaan is referer spamming, komt er op neer dat ze een random hit op je site doen met de referer van de site die aandacht moet hebben volgens hun. Deze referer zie je dan vaak verschijnen in stats. Het is iets om op te latten als je je stats ook andere laat zien 
Of zet er een vakje neer die je comment noemt maar vermeld in de tekst dat hier alleen een 0 getyped moet worden oid...
The people who lost my respect will never get a capital letter for their name again.
Like trump...
Like trump...
Ja idd ben zelf geen fan van plaatjes als website bezoeker maar als webmaster werken ze toch verdomde goed. Het eerste wat ik zelf ga maken als ik tijd heb er voor is een set met dat soort simpele vragen om het toch moeilijk te maken voor bots en makkelijk voor bezoekers.quote:Op dinsdag 29 mei 2007 07:47 schreef Chandler het volgende:
Of zet er een vakje neer die je comment noemt maar vermeld in de tekst dat hier alleen een 0 getyped moet worden oid...
Wat voorbeeldjes:
Welke van deze 2 blokjes is groen?
De aarde is:
Ik ben een:
(Ok ik zie mensen nog wel Bot invullen ook bij die xD.)
Etcetera etcetera, het werkt een stuk beter dan plaatjes aangezien iedereen een hekel aan die dingen heeft, vooral omdat de helft onduidelijk is of niet netjes grote en kleine letters afhandeld en je ze vaak mis hebt .
.
phluphy for president!
ik heb dergelijke problemen op een phpBB board, de CAPTCHA check die daarbij zit is zo lek als een mandje, terwijl dezelfde check het in het gastenboek prima doet... ? Anyway, daar zit nu een check op waarbij je een woord moet overtypen, die werkt tot nu toe feilloos. Sinds 11 mei heb ik al ruim 400 bot-meldingen gehad
Ik heb in begin heel veel captcha's gebruikt, maar zelfs daar gaan ze op een gegeven moment omheen komen, hoe random je ze ook maakt.quote:Op dinsdag 29 mei 2007 00:40 schreef Geqxon het volgende:
Laat je gebruikers een code overtypen?
Valt nog best mee. Vergeet niet dat phpBB zeer vaak gebruikt word en zeer makkelijk op te zetten is en daardoor een zeer aantrekkelijk doel is om aan te vallen. De CAPTCHA is gewoon gekraakt en word nu misbruikt om forums vol me te spammen. De bots zijn dan ook voor phpBB geschreven (of een module voor een bot), dat je de zelfde CAPTCHA voor je gasten boek gebruikt en daar geen last van hebt komt waarschijnlijk doordat ze het verkeerde proberen of gewoon helemaal geen CAPTCHA check uitvoeren . (Heb zelf gemiddeld 700 pogingen per week om me gastenboek te spammen.) Voor vBulliten gaat het zelfde op btw. Hoge bomen vangen veel wind.quote:Op dinsdag 29 mei 2007 08:41 schreef Xcalibur het volgende:
ik heb dergelijke problemen op een phpBB board, de CAPTCHA check die daarbij zit is zo lek als een mandje, terwijl dezelfde check het in het gastenboek prima doet... ? Anyway, daar zit nu een check op waarbij je een woord moet overtypen, die werkt tot nu toe feilloos. Sinds 11 mei heb ik al ruim 400 bot-meldingen gehad
phluphy for president!
Vervolg op m'n posts van vorige week.
Heb Ubuntu succesvol geïnstalleerd op een server. Vind het er nog mooier uitzien en lekkerder draaien dan Windows tot nu toe. Ik heb net eens een simpel PHP bestandje met phpinfo() gemaakt met de text editor en deze geopend in Firefox, wat uiteraard niet werkte. PHP en MySQL zouden in Ubuntu moeten zitten van wat ik begrepen heb, waar vind ik deze dan?
Heb Ubuntu succesvol geïnstalleerd op een server. Vind het er nog mooier uitzien en lekkerder draaien dan Windows tot nu toe. Ik heb net eens een simpel PHP bestandje met phpinfo() gemaakt met de text editor en deze geopend in Firefox, wat uiteraard niet werkte. PHP en MySQL zouden in Ubuntu moeten zitten van wat ik begrepen heb, waar vind ik deze dan?
Je kunt kijken of ze uberhaupt geinstalleerd zijn om te beginnen . En probeer anders eens op php.ini te zoekenquote:Op dinsdag 29 mei 2007 14:29 schreef Tuvai.net het volgende:
Vervolg op m'n posts van vorige week.
Heb Ubuntu succesvol geïnstalleerd op een server. Vind het er nog mooier uitzien en lekkerder draaien dan Windows tot nu toe. Ik heb net eens een simpel PHP bestandje met phpinfo() gemaakt met de text editor en deze geopend in Firefox, wat uiteraard niet werkte. PHP en MySQL zouden in Ubuntu moeten zitten van wat ik begrepen heb, waar vind ik deze dan?
phluphy for president!
[Linux/Unix] [/Gurus/helpen/newbies]% ./deel 17quote:Op dinsdag 29 mei 2007 14:29 schreef Tuvai.net het volgende:
Vervolg op m'n posts van vorige week.
Heb Ubuntu succesvol geïnstalleerd op een server. Vind het er nog mooier uitzien en lekkerder draaien dan Windows tot nu toe. Ik heb net eens een simpel PHP bestandje met phpinfo() gemaakt met de text editor en deze geopend in Firefox, wat uiteraard niet werkte. PHP en MySQL zouden in Ubuntu moeten zitten van wat ik begrepen heb, waar vind ik deze dan?
je kan via de commandline:
| 1 2 3 | sudo apt-get install mysql-server sudo apt-get install php5-cgi php5-mysql php5-gd php5 |
doen.
[ Bericht 3% gewijzigd door Tiemie op 29-05-2007 15:04:49 ]
Kan PHP.ini inderdaad niet vinden. Ik dacht dat alles al compleet in Ubuntu zou zitten.
Hoe kan ik nu het beste de nieuwste versies van PHP en MySQL installeren? Via 'Applications' -> 'Add/Remove...' of handmatig downloaden via php.net en mysql.com?
Hoe kan ik nu het beste de nieuwste versies van PHP en MySQL installeren? Via 'Applications' -> 'Add/Remove...' of handmatig downloaden via php.net en mysql.com?
kan apache-common niet vinden.quote:Op dinsdag 29 mei 2007 14:37 schreef Tiemie het volgende:
[..]
[Linux/Unix] [/Gurus/helpen/newbies]% ./deel 17
je kan via de commandline:
[ code verwijderd ]
doen.
Zegt genoeg denk ik.
apache2 dan.quote:Op dinsdag 29 mei 2007 14:49 schreef Tuvai.net het volgende:
[..]
kan apache-common niet vinden.
Zegt genoeg denk ik.
apt-cache search apache2quote:Op dinsdag 29 mei 2007 15:08 schreef Tuvai.net het volgende:
'zelfde resultaat.
Dan doet 'ie helemaal niks.
Sowieso eerst eens proberen om internet aan de gang te krijgen. Ik heb het juiste IP adres, subnetmasker en gateway al ingesteld, maar krijg nog niet veel. Zodra ik dat aan de gang heb ga ik eens proberen php te downloaden en te installeren.
Sowieso eerst eens proberen om internet aan de gang te krijgen. Ik heb het juiste IP adres, subnetmasker en gateway al ingesteld, maar krijg nog niet veel. Zodra ik dat aan de gang heb ga ik eens proberen php te downloaden en te installeren.
Ik wil graag even een blik op de beveiligingen die ik ingebouwd heb in mijn applicatie, kijken of ik misschien wat dingen over het hoofd heb gezien
Om in te loggen moet men een username en wachtwoord invoeren.
Het wachtwoord wordt als MD5 hash opgeslagen.
Hierin zitten de volgende checks:
1) Wanneer de username leeg of verkeerd is, dan komt de gebruiker terug bij de inlogpagina, met een melding dat de gegevens onjuist zijn.
2) Wanneer het password leeg of verkeerd is, dan komt de gebruiker ook terug bij de inlogpagina.
Wanneer deze twee checks positief zijn, dan wordt er een cookie geplant met daarin de hash van het password.
Op iedere pagina in de admin wordt een check gedaan op de cookie:
1) Wanneer de cookie er niet is, dan komt de gebruiker terecht op de inlogpagina.
2) Komt de inhoud van de cookie niet overeen met het password van de gebruiker, dan wordt de gebruiker ook teruggestuurd naar de inlogpagina.
Overigens is de var voor de username voorzien van mysql_real_escape_string();
Wat denken jullie ervan, volgens mij is de basis behoorlijk compleet?
Om in te loggen moet men een username en wachtwoord invoeren.
Het wachtwoord wordt als MD5 hash opgeslagen.
Hierin zitten de volgende checks:
1) Wanneer de username leeg of verkeerd is, dan komt de gebruiker terug bij de inlogpagina, met een melding dat de gegevens onjuist zijn.
2) Wanneer het password leeg of verkeerd is, dan komt de gebruiker ook terug bij de inlogpagina.
Wanneer deze twee checks positief zijn, dan wordt er een cookie geplant met daarin de hash van het password.
Op iedere pagina in de admin wordt een check gedaan op de cookie:
1) Wanneer de cookie er niet is, dan komt de gebruiker terecht op de inlogpagina.
2) Komt de inhoud van de cookie niet overeen met het password van de gebruiker, dan wordt de gebruiker ook teruggestuurd naar de inlogpagina.
Overigens is de var voor de username voorzien van mysql_real_escape_string();
Wat denken jullie ervan, volgens mij is de basis behoorlijk compleet?
JortK: hoe belangrijk is beveiliging voor je?
Wat ik sowieso nooit zou doen is een hash van het wachtwoord in de cookies zetten. Die worden dan bij iedere pagina opnieuw verstuurd en als iemand die onderschept kan die direct de gehele applicatie in.
Wat ik eerder zou doen is het userid in de sessie opslaan en daarbij gelijk het ipadres, browser etc... Mocht iemand dan de sessie hijacken dan zie je meteen een ander ipadres en log je de gebruiker uit. Daarnaast kun je opgeven hoe lang een sessie actief mag blijven, dat zou ik niet te lang zetten.
Er zijn daarnaast nog veel meer beveiligingen mogelijk, maar dat hangt allemaal af van hoe belangrijk beveiliging voor jou is. Je zou bijvoorbeeld ook https kunnen gebruiken.
Wat ik sowieso nooit zou doen is een hash van het wachtwoord in de cookies zetten. Die worden dan bij iedere pagina opnieuw verstuurd en als iemand die onderschept kan die direct de gehele applicatie in.
Wat ik eerder zou doen is het userid in de sessie opslaan en daarbij gelijk het ipadres, browser etc... Mocht iemand dan de sessie hijacken dan zie je meteen een ander ipadres en log je de gebruiker uit. Daarnaast kun je opgeven hoe lang een sessie actief mag blijven, dat zou ik niet te lang zetten.
Er zijn daarnaast nog veel meer beveiligingen mogelijk, maar dat hangt allemaal af van hoe belangrijk beveiliging voor jou is. Je zou bijvoorbeeld ook https kunnen gebruiken.
Hope for the best, prepare for the worst.
Ik gebruik beveiliging eigenlijk puur voor mezelf dat mensen niet blog posts kunnen maken en dat soort dingenquote:Op dinsdag 29 mei 2007 17:28 schreef cyberstalker het volgende:
JortK: hoe belangrijk is beveiliging voor je?
Wat ik sowieso nooit zou doen is een hash van het wachtwoord in de cookies zetten. Die worden dan bij iedere pagina opnieuw verstuurd en als iemand die onderschept kan die direct de gehele applicatie in.
Wat ik eerder zou doen is het userid in de sessie opslaan en daarbij gelijk het ipadres, browser etc... Mocht iemand dan de sessie hijacken dan zie je meteen een ander ipadres en log je de gebruiker uit. Daarnaast kun je opgeven hoe lang een sessie actief mag blijven, dat zou ik niet te lang zetten.
Er zijn daarnaast nog veel meer beveiligingen mogelijk, maar dat hangt allemaal af van hoe belangrijk beveiliging voor jou is. Je zou bijvoorbeeld ook https kunnen gebruiken.
Maar ik zal eens naar je punten kijken
Een cookie wordt toch opgeslagen op de pc van de gebruiker? Dus als jij ergens inlogt, je browser afsluit en weggaat, en de volgende persoon gaat naar je site, dan bestaat de cookie nog steeds. En is die persoon ingelogd
Geldigheid van de cookie niet onbeperkt lang instellen (wat ik nog steeds heel veel mensen zie doen) en het wachtwoord dat in de cookie staat encrypten; MD5 of SHA of zo.quote:Op dinsdag 29 mei 2007 17:52 schreef Piles het volgende:
Een cookie wordt toch opgeslagen op de pc van de gebruiker? Dus als jij ergens inlogt, je browser afsluit en weggaat, en de volgende persoon gaat naar je site, dan bestaat de cookie nog steeds. En is die persoon ingelogd
Waarom zou je een wachtwoord (encrypted of niet) in een cookie op willen slaan?
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
Waarom zou je uberhaupt cookie's gebruiken? Je hebt toch sessies???
(al zijn dat in principe ook cookies)
Niet alle gebruikers hebben cookies ingeschakeld.
(al zijn dat in principe ook cookies)
Niet alle gebruikers hebben cookies ingeschakeld.
Een sessie verloopt zodra je de browser sluit (ala), een cookie is voor een lange tijd geldig.quote:Op dinsdag 29 mei 2007 19:00 schreef beerten het volgende:
Waarom zou je uberhaupt cookie's gebruiken? Je hebt toch sessies???
(al zijn dat in principe ook cookies)
Niet alle gebruikers hebben cookies ingeschakeld.
Zodat je elke keer als de gebruiker terugkomt een username/password check uit kunt voeren, mocht zijn password ergens op een andere computer gewijzigd zijnquote:Op dinsdag 29 mei 2007 18:29 schreef SuperRembo het volgende:
Waarom zou je een wachtwoord (encrypted of niet) in een cookie op willen slaan?
