DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan? 
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
haha) dan hebben jullie waarschijnlijk ook allemaal een goede baan?
Dat sowieso!quote:Op zaterdag 21 april 2012 14:45 schreef KomtTijd... het volgende:
En vooral ook om eerdere code nog eens door te nemen en te corrigeren.
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.quote:Op zaterdag 21 april 2012 14:44 schreef JDx het volgende:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
Dit dan weer wel maar SQL injection is ook wel les 0.00001 en daar de voorkennis van.
Mwoah, als je userinput goed controleert kan je weinig gebeuren. Dingen als je code optimalizeren etc. zijn ook wel handig om te weten.quote:
[..]
Ik durf me heul niet als programmeur te verkopen, juist omdat ik weet dat ik niet al ditsoort security dingetjes weet.
Dit dan weer wel maar SQL injection is ook wel les 0.00001 en daar de voorkennis van.
Misschien een aardig plan om een security top 5 te maken van dingen die je zeker niet verkeerd wil doen? Voor in de OP ofzo?
Bv ook het salten van passwords, sessies niet opslaan in /tmp, warnings en errors niet weergeven... Dat soort dingen?
Bv ook het salten van passwords, sessies niet opslaan in /tmp, warnings en errors niet weergeven... Dat soort dingen?
Programmeurs zijn er zat te vinden. Alleen Nederlanders willen voor een dubbeltje op de eerste rang zitten. En goede, custom code kost nou eenmaal geld. En een degelijke programmeur is ook niet goedkoop neequote:
Idd, thanks!
Maar als ik zie hoe moeilijk ze iemand kunnen vinden die kan programmeren (of dat denkt te kunnen
I'm not good with advice.. Can i interest you in a sarcastic comment?
Je werkt bij een toko waar ze software ontwikkelen en NIEMAND heeft je ooit verteld dat je userinput moet controleren?? En je was daar ZELF ook niet op gekomen?? Heb je nooit op een php forum gelezen hoe je bepaalde vraagstukken moet oplossen?
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Het is inderdaad tijd om die op eens grondig aan te pakken met een korte FAQ!
punten?
- User input controleren?
- Andere veiligheids voorzieningen (salts, cookies, sessies, etc)
- Meest gebruikte frameworks, template engines etc
Meer? ik ben er iig voor!
punten?
- User input controleren?
- Andere veiligheids voorzieningen (salts, cookies, sessies, etc)
- Meest gebruikte frameworks, template engines etc
Meer? ik ben er iig voor!
Just say hi!
quote:Op zaterdag 21 april 2012 15:17 schreef Swetsenegger het volgende:
Je werkt bij een toko waar ze software ontwikkelen en NIEMAND heeft je ooit verteld dat je userinput moet controleren?? En je was daar ZELF ook niet op gekomen?? Heb je nooit op een php forum gelezen hoe je bepaalde vraagstukken moet oplossen?
Ongetwijfeld dat daar "ALWAYS CHECK USERINPUT" heeft gestaan.
Ik moet om de week wel ongeveer werken met code waar get (dan wel post) data direct in een query wordt gegooid, van verscheidene 'webdevelopment' bedrijven.
Veel daarvan hebben dan ook nog een eigen 'CMS' (durf het haast geen CMS te noemen eigenlijk) die zo lek is als een mandje. En ze hebben dan dus vaak de portfolio op hun website staan, weet je zo welke sites lek zijn.
SQL-injecties stonden centraal in Zembla gisteravond:
http://www.uitzendinggemist.nl/afleveringen/1249442
http://www.uitzendinggemist.nl/afleveringen/1249442
quote:
SQL-injecties stonden centraal in Zembla gisteravond:
http://www.uitzendinggemist.nl/afleveringen/1249442
Timing!
Ik heb ook een eigen cmsje maar ik vang wel altijd user input af.quote:
[..]
Ik moet om de week wel ongeveer werken met code waar get (dan wel post) data direct in een query wordt gegooid, van verscheidene 'webdevelopment' bedrijven.
Veel daarvan hebben dan ook nog een eigen 'CMS' (durf het haast geen CMS te noemen eigenlijk) die zo lek is als een mandje. En ze hebben dan dus vaak de portfolio op hun website staan, weet je zo welke sites lek zijn.
Maar ik zal ook vast wel een lekje hebben hier en daar
Die aflevering van Zembla is wel hard... ongelooflijk!Ook de klant de schuld geven voor wachtwoorden als "123456" .. en dan als excuus "Ja wij kunnen niet zien wat voor een wachtwoord ze nemen".
Tuurlijk veranderen mensen hun wachtwoord naar iets makkelijks, dit moet je gewoon onmogelijk maken, en daarbij snap ik niet dat ze geen Tokens o.i.d. gebruiken. Dat zijn de kosten niet.
[ Bericht 52% gewijzigd door TwenteFC op 21-04-2012 16:21:39 ]
Je moet gewoon een functie implementeren waarmee je standaard user input verwerkt en controleert. Als je dat aanleert voorkom je dingen zoals MysqlInjection.
Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
It was an opportunity to honour our memories and to make room for new ones
Best kans dat ze voor de zomer failliet zijn...quote:Op zaterdag 21 april 2012 16:08 schreef TwenteFC het volgende:
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.quote:Ook de klant de schuld geven voor wachtwoorden als "123456" .. en dan als excuus "Ja wij kunnen niet zien wat voor een wachtwoord ze nemen".
Een wachtwoord als 123456 is wel heel simpel, daar mag best een regeltje bij dat er ook een letter in moet zitten.quote:Tuurlijk veranderen mensen hun wachtwoord naar iets makkelijks, dit moet je gewoon onmogelijk maken, en daarbij snap ik niet dat ze geen Tokens o.i.d. gebruiken. Dat zijn de kosten niet.
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.quote:Op zaterdag 21 april 2012 16:09 schreef stefanhaan het volgende:
Je moet gewoon een functie implementeren waarmee je standaard user input verwerkt en controleert. Als je dat aanleert voorkom je dingen zoals MysqlInjection.
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.quote:Of wat geadvanceerdere mysql leren door middel van procedures en views. Dan is je database ook al vrij goed beveiligd.
Als je views en procedures gebruikt voorkom je inniedergeval dat er serieuze dingen gedaan kunnen worden zoals accounts creëren , dingen droppen. Je voegt een extra laag van security level toe.quote:
[..]
Nee, je moet op de juiste momenten de juiste functies gebruiken. En dus kun je die pas zo laat mogelijk inzetten. Als je user input terug wilt sturen in een html pagina (zonder database), heb je niets aan sql escaping.
[..]
Dat doet weinig. Je moet procedures en views ook aanroepen en moet nog steeds een query samenstellen met of op basis van user input. Die moet je dan nog steeds escapen.
Mits je het juist configureerd.
It was an opportunity to honour our memories and to make room for new ones
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.quote:
[..]
En het achterhalen van de wachtwoorden duurde ook niet lang, dus of ze zijn als plaintext opgeslagen of er is een zwakke encryptie gebruikt.
Als er zulke gevoelige data achterligt dan mag het gewoon niet kunnen, een checkje maken die controleert of er op zijn minst een !@#$% teken,kleine letter,hoofdletter en cijfers inzitten is binnen 1 minuut gemaakt.quote:
[..]
Wachtwoorden als 123456 duren nooit lang om te achterhalen (als ze niet gesalt zijn). Daar kun je de hashes gewoon van googlen.
De reactie van VCD ookquote:
Dit persbericht bijvoorbeeld, echt om te janken. Ze ontkennen eigenlijk gewoon alles.
quote:Op zaterdag 21 april 2012 18:09 schreef Tijn het volgende:
[..]
De reactie van VCD ook
De mensen die netjes laten weten dat je site lek is aanklagen, en de hackers die dmv van 100 proxy's binnen zijn gekomen daar kunnen ze niets tegen maken.
En ondertussen zijn ze wel op zoek naar personeel:quote:
[..]
De reactie van VCD ook
Productmanager verzuimapplicaties VCD Humannet
Waar is de vorige productmanager gebleven?
