Ja "problemen bestaan niet, alleen uitdagingen" enzo. Tuurlijk kun je het ook zelf oplossen, smarty maakt het allemaal alleen maar een stuk makkelijker. He, vervelend.quote:Op woensdag 21 november 2012 14:06 schreef Tijn het volgende:
[..]
Smarty is geen framework. Het is imho een oplossing voor iets dat geen probleem is.
Ik vind Smarty niet makkelijker. Het is imho juist makkelijker als de code in je view deselfde syntax heeft als de code van de rest van je project.quote:Op woensdag 21 november 2012 14:08 schreef KomtTijd... het volgende:
[..]
Ja "problemen bestaan niet, alleen uitdagingen" enzo. Tuurlijk kun je het ook zelf oplossen, smarty maakt het allemaal alleen maar een stuk makkelijker. He, vervelend.
Dat mag. Ik vind het wel makkelijker.quote:
Uh. Hoe is dat sneller? De server moet weer een extra request doen om een simpele foreach om te knutselen naar html.quote:Op woensdag 21 november 2012 14:15 schreef mstx het volgende:
[..]
Dat mag. Ik vind het wel makkelijker.
Smarty of pure PHP vind ik allebei prima. Waar ik wel een grafhekel aan heb zijn mensen die het wiel zelf opnieuw gaan uitvinden omdat dat 0,000000001 seconde sneller is. Zo'n collega had ik ooit, die had zelf een templatesysteem gemaakt waar je niet eens foreach-loops in kon maken (in plaats daarvan moest je voor bijv. een tabelrij een apart bestandje maken). Maar het was wel super vet veel sneller.
1 2 3 | $password = "banana" $salt = sha1(md5($password)); $password = md5($password.$salt); |
*highfive* Ik ook . Besteed me tijd liever aan iets bouwen wat er nog niet is dan is basaals als een template engine (Twig ) of framework bouwen.quote:Op woensdag 21 november 2012 16:34 schreef Boze_Appel het volgende:
[..]
Uh. Hoe is dat sneller? De server moet weer een extra request doen om een simpele foreach om te knutselen naar html.
Ik haat zulke mensen.
Dat is net zo onveilig als:quote:Op woensdag 21 november 2012 19:14 schreef Swetsenegger het volgende:
Een mooi vraagstuk gelet op de titel.
Wat is nou een veilige manier om passwords (hashes) op te slaan? Ik kwam bijvoorbeeld dit tegen:
[ code verwijderd ]
Maar is dit nou een best practise?
1 2 | $password = "banana" $password = md5($password); |
Dit plus afdwingen dat wachtwoorden minimaal 8 karakters lang moet zijn en verschillende tekens moet hebben, bv: AaZz123%$quote:Op woensdag 21 november 2012 19:19 schreef WyriHaximus het volgende:
[..]
*highfive* Ik ook . Besteed me tijd liever aan iets bouwen wat er nog niet is dan is basaals als een template engine (Twig ) of framework bouwen.
[..]
Dat is net zo onveilig als:
[ code verwijderd ]
Het liefst pak je een site en user specific salt en haal je die samen met het password door bcrypt (of iets vergelijkbaars heen want md5 kan ook echt niet meer). Interessante read: http://codahale.com/how-to-safely-store-a-password/
quote:Op woensdag 21 november 2012 19:45 schreef Pakspul het volgende:
[..]
Dit plus afdwingen dat wachtwoorden minimaal 8 karakters lang moet zijn en verschillende tekens moet hebben, bv: AaZz123%$
Want? Probeer al zoveel mogelijk lange passwords te gebruiken, alleen kunnen veel systemen het nog niet aan.quote:
Ze gaan ook uit van een dictionary attack, vandaar de 11 bits entropy per woord.quote:Op woensdag 21 november 2012 19:52 schreef Diabox het volgende:
Omdat het van een pure bruteforce uitgaat, je kunt in principe ook bruteforcen middels combis van dictionary words.
Klopt maar dan ga je er al vanuit dat gebruikers puur gecombineerde dictionary words gebruiken ipv er ook nog wat hoofdletters, cijfers en leestekens tussendoor gooien.quote:Op woensdag 21 november 2012 19:52 schreef Diabox het volgende:
Omdat het van een pure bruteforce uitgaat, je kunt in principe ook bruteforcen middels combis van dictionary words.
Je bedoelt: klopt niet.quote:
Helemaal gelijk.quote:Op woensdag 21 november 2012 19:57 schreef GlowMouse het volgende:
[..]
Ze gaan ook uit van een dictionary attack, vandaar de 11 bits entropy per woord.
Leuk, maar toevoegen van een salt heeft uiteraard nog meer nut.quote:
Het punt van dat stripje is dan ook dat het vooral een makkelijk te onthouden wachtwoord moet zijn. Wat een 8-random-karakter string natuurlijk niet is. De 2e keus van veel mensen ( "Welkom1": Hoofdletter en een cijfer, keiveilig toch?) is dan over het algemeen de slechtste keus.quote:Op woensdag 21 november 2012 20:01 schreef GlowMouse het volgende:
Als je een wachtwoord hebt van 8 random karakters a-z, A-Z en 0-9 dan zit je op ongeveer 48 bits entropy, 16x veiliger dan dat paard.
Acht is nog wel te doen, 11 begint moeilijk te worden, en daarna is het helemaal een hel. Mijn volgende wachtwoord moet rond de 16 karakters lang zijn met speciale tekens er in, maar ik een script geschreven waarmee ik een formaat kan aangeven en PHP vult deze dan met letters/cijfers/tekens.quote:Op woensdag 21 november 2012 20:06 schreef KomtTijd... het volgende:
[..]
Het punt van dat stripje is dan ook dat het vooral een makkelijk te onthouden wachtwoord moet zijn. Wat een 8-random-karakter string natuurlijk niet is. De 2e keus van veel mensen ( "Welkom1": Hoofdletter en een cijfer, keiveilig toch?) is dan over het algemeen de slechtste keus.
...Dat er uberhaupt een format in zit maakt het al een slechte generator. Als je random doet, doe dan ook écht random.quote:Op woensdag 21 november 2012 20:09 schreef Pakspul het volgende:
[..]
Acht is nog wel te doen, 11 begint moeilijk te worden, en daarna is het helemaal een hel. Mijn volgende wachtwoord moet rond de 16 karakters lang zijn met speciale tekens er in, maar ik een script geschreven waarmee ik een formaat kan aangeven en PHP vult deze dan met letters/cijfers/tekens.
http://rotzooi.pakspul.nl/password_generator.php
Schijt er aan dat het een slechte generator is. Dan maar quasi random, maar ik heb nu wel een wachtwoord die lang genoeg is en waar verschillende tekens in worden gebruikt waardoor hij in ieder geval niet door een rainbow tabel is te kraken.quote:Op woensdag 21 november 2012 20:13 schreef KomtTijd... het volgende:
[..]
...Dat er uberhaupt een format in zit maakt het al een slechte generator. Als je random doet, doe dan ook écht random.
Nee, als je op de link klikt zie je dat hij random wachtwoorden genereert (of quasi random ) en als ik een mooie vind dat kies ik die. Elke F5 krijg je weer een scherm met nieuwe combinaties.quote:Op woensdag 21 november 2012 20:18 schreef KomtTijd... het volgende:
oh voor persoonlijk gebruik maakt dat niet uit inderdaad. Ik zag even voor me dat je een database met 10K wachtwoorden volgens het zelfde format zou vullen
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |