[Vrijwilligers] Site nakijken op lekken
Nu ik een beetje een systeem in elkaar heb gezet, wil ik het ook veilig hebben. Nu zijn er meerdere mensen die zeggen dat zelfs een "kleuter mijn systeem kan hacken". Nu zoek ik vrijwilligers die van alles in mijn systemen uit gaan testen, en de fouten aan mij gaan melden.
3DS-clubhouse.com
Met vriendelijke groet,
Marco
Je hebt dit:
<input name="visitor_name" type="text" id="kode_visitor_name" value="Gast" size="20">
Waardoor dus "Gast" vast als waarde komt te staan.
Kijk hier eens naar: HTML placeholder http://www.w3schools.com/tags/att_input_placeholder.asp
Als je dus gewoon value="Gast" vervangt door placeholder="Gast"...
Kris Peeters op 30/04/2013 14:26:36:
Iets wat me opvalt, bij Gastenboek:
Je hebt dit:
<input name="visitor_name" type="text" id="kode_visitor_name" value="Gast" size="20">
Waardoor dus "Gast" vast als waarde komt te staan.
Kijk hier eens naar: HTML placeholder http://www.w3schools.com/tags/att_input_placeholder.asp
Als je dus gewoon value="Gast" vervangt door placeholder="Gast"...
Je hebt dit:
<input name="visitor_name" type="text" id="kode_visitor_name" value="Gast" size="20">
Waardoor dus "Gast" vast als waarde komt te staan.
Kijk hier eens naar: HTML placeholder http://www.w3schools.com/tags/att_input_placeholder.asp
Als je dus gewoon value="Gast" vervangt door placeholder="Gast"...
Ja, ik ken de attribuut placeholder. Als je ingelogd bent, hoort er je gebruikersnaam te staan, maar als je niet ingelogd bent, komt er dus "Gast" te staan. Dit is natuurlijk niet handig, en dat ga ik dus zo snel mogelijk aanpassen! Bedankt voor de moeite!
_________________________________________________________________
Ook zoek ik lekken in het inlogsysteem.
In IE 9 of lager werkt placeholder nog niet. Hierdoor zien je bezoekers dus een lege tekstvak waardoor ze bijvoorbeeld bij de registreer pagina, niet weten wat ze moeten invullen in welk tekstvak. Zoek eens op google naar; 'Placeholder replacement IE9'.
Wat je ook kan doen, is een bericht weergeven dat de website niet goed functioneert bij een oudere versie IE9. Helaas schrikt dit wel bezoekers af. Daarnaast staat op de Inlogpagina, de knop Lakitu, gezien de pagina waar hij naartoe leid, lijkt het mij niet de bedoeling dat hij daar staat.
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Ik zag trouwens ook dat treinencool admin is, ik ken hem nog van webklik (iedereen moet ergens beginnen). Het is leuk om hem weer eens te zien na een lange tijd.
Gewijzigd op 30/04/2013 15:13:42 door Landleven Tips
Landleven Tips op 30/04/2013 15:10:40:
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Ja, inderdaad;
In de HTML broncode zie je dat paswoord dan ongecodeerd.
dat lijkt me niet de bedoeling.
Wouter J op 30/04/2013 15:43:35:
een polyfill te maken, zodat het altijd werkt.
(Net opgezocht) Dit lijkt me een algemene term te zijn; die precies doet wat hier gevraagd wordt.
Maar het klinkt als iets wat je zelf maakt.
Wordt daar ergens centraal aan gewerkt? Zijn er standaard oplossingen?
Modernizr, een library voor het testen van support, heeft een lijst met huidige stable polyfills. Een officiële lijst/groep mensen is er niet.
Quote:
Even een toevoeging op de opmerking van Kris Peeters,
In IE 9 of lager werkt placeholder nog niet. Hierdoor zien je bezoekers dus een lege tekstvak waardoor ze bijvoorbeeld bij de registreer pagina, niet weten wat ze moeten invullen in welk tekstvak. Zoek eens op google naar; 'Placeholder replacement IE9'.
Wat je ook kan doen, is een bericht weergeven dat de website niet goed functioneert bij een oudere versie IE9. Helaas schrikt dit wel bezoekers af.
In IE 9 of lager werkt placeholder nog niet. Hierdoor zien je bezoekers dus een lege tekstvak waardoor ze bijvoorbeeld bij de registreer pagina, niet weten wat ze moeten invullen in welk tekstvak. Zoek eens op google naar; 'Placeholder replacement IE9'.
Wat je ook kan doen, is een bericht weergeven dat de website niet goed functioneert bij een oudere versie IE9. Helaas schrikt dit wel bezoekers af.
Bedankt voor de informatie, ik ga denk ik een polyfill gebruiken.
Quote:
Daarnaast staat op de Inlogpagina, de knop Lakitu, gezien de pagina waar hij naartoe leid, lijkt het mij niet de bedoeling dat hij daar staat.
Daar staan de online gebruikers, en op dat moment was Lakitu online. Maar ik ga het voor gasten verbergen.
Quote:
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Dit ga ik binnenkort weghalen.
Quote:
Ik zag trouwens ook dat treinencool admin is, ik ken hem nog van webklik (iedereen moet ergens beginnen). Het is leuk om hem weer eens te zien na een lange tijd.
Ik ken hem ook van Webklik, maar ik ben zelf PHP gaan leren, en ben een paar maanden geleden naar Neostrada gegaan.
Quote:
brute force hack is mogelijk bij het inlogsysteem
Ik heb gelezen wat het is, en ik weet wel een oplossing, je mag het wachtwoord een paar keer fout hebben, en na 3 keer ben je voor 15 minuten verbannen. Dat lijkt mij wel veilig.
Over de polyfills, ik ga kijken of ik er 1 kan vinden voor placeholder.
Ik heb vandaag eens uitgebreid kunnen kijken, gister had ik het helaas druk maar voor de afleiding kon ik wel even kijken ;)
Wat mij direct opvalt is de pagina leden. Hierop staan alle leden netjes onder elkaar. Mooi, maar wel storend als je bijvoorbeeld 300+ leden hebt dan krijg je namelijk een hele lange pagina te zien met allerlei namen. Kijk dus of je dit kan opsplitsen, of naast elkaar kan zetten in mooie kolommen.
Daarnaast heb ik bij mijn registratie geen geslacht kunnen invoeren. Terwijl dit later wel op de site wordt getoont, een optie om dat toe te voegen zou wel handig zijn, hetzelfde bij de geboortedatum. Verder op de pagina ucp.php?action=profile zou ik de knoppen <b><i><u> juist bovenaan de textarea plaatsen, dit zorgt voor meer duidelijkheid ;)
Ik zou de buttons die bovenaan de pagina ucp.php staan verwijderen, ze staan tenslotte al onder het menu -> Mijn account, als ze daar niet bij staan kan je ze er misschien nog toevoegen.
Voor de rest een mooie functionele site. Een mooie layout keuze, strak waar ik juist van houd. Ook niet te veel lichte kleuren, wat ook weer een pluspunt is! De chat is ook een mooie functie waar je veel plezier van kan hebben.
Quote:
Wat mij direct opvalt is de pagina leden. Hierop staan alle leden netjes onder elkaar. Mooi, maar wel storend als je bijvoorbeeld 300+ leden hebt dan krijg je namelijk een hele lange pagina te zien met allerlei namen. Kijk dus of je dit kan opsplitsen, of naast elkaar kan zetten in mooie kolommen.
Ja, ik ga het met pagina's van 30 leden per pagina opsplitsen.
Quote:
Daarnaast heb ik bij mijn registratie geen geslacht kunnen invoeren. Terwijl dit later wel op de site wordt getoont, een optie om dat toe te voegen zou wel handig zijn, hetzelfde bij de geboortedatum. Verder op de pagina ucp.php?action=profile zou ik de knoppen <b><i><u> juist bovenaan de textarea plaatsen, dit zorgt voor meer duidelijkheid ;)
Ga ik doen, nu je het zegt valt het inderdaad op.
En over de dingen uit je profiel, eigenlijk vraag ik dat niet bij een registratie, en kun je later zelf kiezen wat je wel en niet in wil vullen. Maar ook daar ga ik aan denken.
Quote:
Ik zou de buttons die bovenaan de pagina ucp.php staan verwijderen, ze staan tenslotte al onder het menu -> Mijn account, als ze daar niet bij staan kan je ze er misschien nog toevoegen.
Mmmm, ik vind het zelf wel mooi voor een paneel. Ik ga er over nadenken.
Quote:
Voor de rest een mooie functionele site. Een mooie layout keuze, strak waar ik juist van houd. Ook niet te veel lichte kleuren, wat ook weer een pluspunt is! De chat is ook een mooie functie waar je veel plezier van kan hebben.
Bedankt!
_____________________________________________
Bedankt aan alle mensen die tips hebben gegeven, ik ga er hard aan werken!
Geen idee wat hier de bedoeling/toegevoegde waarde van is.
Obelix en Idefix op 01/05/2013 18:31:08:
"3DS-clubhouse.com, hierna te noemen 3DS-clubhouse.com, "
Geen idee wat hier de bedoeling/toegevoegde waarde van is.
Geen idee wat hier de bedoeling/toegevoegde waarde van is.
Ik leg je uit hoe dat komt, ik heb deze disclaimer laten genereren door 1 of andere universiteit ofzo, vandaar dat er wat dingen in die tekst wat raar zijn...