OSvendetta

    Hi,

    Omdat ik mij regelmatig in de avonduren verveel (s'avonds geen werk voor mij) wil ik de OSvendetta gaan verbeteren.
    Ik heb een website opgezet waar de fouten gemeld kunnen worden zodat ik hiernaar kan kijken wanneer ik er de tijd voor heb.
    Voordeel is dan vooral dat het overzicht voor iedereen zichtbaar blijft wanneer iets opgelost is ja of nee.

    Bug melden: http://internetbron.nl/buglijst/
    Updates: http://internetbron.nl/updates/

    Wanneer je wilt meewerken aan het project heb ik liever even skype contact met die persoon, aangezien we beide andere ideeën kunnen hebben.
    De release wordt natuurlijk ook weer vrijgegeven aan iedereen zodat we er allemaal weer wat aan hebben.

    Ik heb 1 strikte regel en dat is: De source mag onder geen enkel voorbehoud verkocht worden, met wijziging of zonder!

    We werken er allemaal aan dus het is niet de bedoeling dat iemand hier geld over andermans werk gaat zitten verdienen.
    Momenteel werk ik nog localhost omdat ik het even wil uitpluizen, wanneer meer bekend is zal ik dit met jullie delen.


    Update lijst:
    - 09-06-2013 - Alles is omgezet in MySQLi omdat vanaf PHP 5.5 de MySQL functie verdwijnt.
    - 09-06-2013 - De registratie maakte gebruik van regex om de e-mail te controleren, hiervoor is filter_var toegepast.
    - 09-06-2013 - De registratie maakte gebruik van regex om de username te controleren, hiervoor is ctype_alnum toegepast, ook is niet meer dan 16 tekens toegestaan (field maxlength).
    - 09-06-2013 - Wachtwoorden werden met MD5 opgeslagen, dit is veranderd in hash_hmac incl. SHA512 en een SALT/PEPPER.
    - 09-06-2013 - De activatie was niet meer actief, dit is weer terug geplaatst en wordt verwerkt, dus de user moet verplicht activeren.

    Bewerkt één keer, laatst door WHMCSAddons (9 juni 2013 om 22:04).

    Mooi dat er nu ook belangstelling is naar een andere bekende maffia source.

    Als ik kijk naar jouw inzet Fils dan denk ik wel dat jij het haalt, i.p.v. paar andere projecten hier op ICTs.
    Veel succes!

    Met vriendelijke groet,
    Reza.

    Citaat van Wmdiensten

    Reza
    Thnx ;) Zal wel even duren voor alles weer netjes is en we verder kunnen uitwerken maar ik zelf heb er in me avond uren wel zin in ;)

    Ik eigenlijk ook wel.
    Maar zoals ik onderhand heb gemerkt is Fils een doorzetter.
    Niet zoals anderen op het forum die misschien iets zeggen en waar later een klein plan van komt wat de stof kast in gaat.

    Met Vriendelijke Groet.


    Maikel

    Over je SHA1 en MD5 blog:

    Als ik de code bekijk lijkt de "secret key" gewoonweg een salt te zijn. Daarnaast is de "pepper" niet van toegevoegde waarde. Doordat je een salt toevoegd hebben rainbow-tables minder inpakt. Wachtwoorden als test komen namelijk wel voor in rainbow-tables maar testmijnfantastischesalt213 komt hoogstwaarschijnlijk niet voor. Daarbij is een hash nooit te decrypten. Om het wachtwoord te achterhalen heb je nu overigens niet je salt nodig. Je hebt alleen heel veel rekencapaciteit nodig.. Als de salt bekend is wordt het wel iets makkelijker wachtwoorden te achterhalen.

    Overigens zijn er twee redenen waardoor MD5 wordt afgeraden:
    - Er zijn gigantisch veel rainbow-tables beschikbaar voor MD5. Dit kun je echter oplossen met een goede salt.
    - MD5 is voor de huidige computers een extreem snel algoritme. De werkelijke waarde (of een collision) van een 128-bit MD5 salt is daardoor relatief snel gevonden.

    Stefan,J
    Zelfs php.net raad af md5() of sha1() voor wachtwoorden te gebruiken, dus waarom zou je dit dan wel gaan gebruiken voor wachtwoorden?
    Denk dat php.net hun eigen functies en veiligheid ervan beter kennen dan jij (no offense).

    Pepper niet van toegevoegde waarde???
    Dus of ik het erin zet of niet helpt niks, dat is natuurlijk onzin hoop dat je dit ook wel inziet ;)

    @Fils: Ik schrijf niet dat je wel MD5 moet gaan gebruiken. Ik licht alleen toe wat het probleem is met MD5. Daarbij is het overigens ook zo dat er wat problemen in MD5 zijn gevonden die het nog sneller mogelijk maken hashes te berekenen.

    Een zogenaamde pepper heeft geen toegevoegde waarde. Het gaat erom dat je iets aan het wachtwoord plakt (liefs user-specifiek). Of dat nu vooraan, achteraan of in het midden van het wachtwoord staat maakt niet uit. Vooraan en achteraan zetten is dan ook onzin.

    Stefan.J
    Onzin, als ik dit vooraan en achteraan plaatst heeft het natuurlijk wel toegevoegde waarde, dit is een beetje krom verhaal.
    Het gaat er helemaal niet om hoe je dit gebruikt, het gaat erom wat een ander vind en daar is jou mening zeker in gerespecteerd.
    Ben het ook wel deels met je stelling eens alleen dat het geen toegevoegde waarde heeft is onzin, een extra toegevoegde waarde is altijd goed.

    Als ik je nu 100 euro geef, en bied je nog eens 100 euro zeg je toch ook niet is geen toegevoegde waarde, heb de 100 euro al.

    Citaat van PHP.net


    Why are common hashing functions such as md5() and sha1() unsuitable for passwords?

    Hashing algorithms such as MD5, SHA1 and SHA256 are designed to be very fast and efficient. With modern techniques and computer equipment, it has become trivial to "brute force" the output of these algorithms, in order to determine the original input.

    Because of how quickly a modern computer can "reverse" these hashing algorithms, many security professionals strongly suggest against their use for password hashing.

    Ze geven dus aan dat het niet aangeraden is, vervolgens zeg jij dat het wel kan maar met een andere manier.
    Als er een andere manier was hadden ze dit wel toegelicht in het stukje uitleg wat ze nu dus niet gedaan hebben.

    Betreffende rainbow tables, dit zijn bekende waardes die aan de hash gekoppeld zit, dit breid zich dus dagelijks uit en zal voorlopig ook niet stoppen.

    Citaat van Wmdiensten

    Stefan.J
    Onzin, als ik dit vooraan en achteraan plaatst heeft het natuurlijk wel toegevoegde waarde, dit is een beetje krom verhaal.
    Het gaat er helemaal niet om hoe je dit gebruikt, het gaat erom wat een ander vind en daar is jou mening zeker in gerespecteerd.
    Ben het ook wel deels met je stelling eens alleen dat het geen toegevoegde waarde heeft is onzin, een extra toegevoegde waarde is altijd goed.

    Als ik je nu 100 euro geef, en bied je nog eens 100 euro zeg je toch ook niet is geen toegevoegde waarde, heb de 100 euro al.


    Ze geven dus aan dat het niet aangeraden is, vervolgens zeg jij dat het wel kan maar met een andere manier.
    Als er een andere manier was hadden ze dit wel toegelicht in het stukje uitleg wat ze nu dus niet gedaan hebben.

    Betreffende rainbow tables, dit zijn bekende waardes die aan de hash gekoppeld zit, dit breid zich dus dagelijks uit en zal voorlopig ook niet stoppen.

    Sorry Fils dat ik misschien midden in een verhaal stop.
    Maar wat zijn nu alle versleuteling code's?

    Ik ken namelijk alleen nog maar MD5. Dit misschien ook omdat ik niet ben ik de script wereld. ?(

    Met Vriendelijke Groet.


    Maikel

    @Fils:

    Citaat

    Ik schrijf niet dat je wel MD5 moet gaan gebruiken. Ik licht alleen toe wat het probleem is met MD5.

    Ik geef niet aan dat je het wel moet gebruiken. Het is zeker beter een sterker hashing algoritme zoals SHA512 te gebruiken. Je hoort mij niet zeggen dat iedereen MD5 moet gebruiken en dat zal ik ook niet doen.

    Wat betreft je pepper en secret key. Als je gebruik maakt van een salt doe je dat met een reden. Namelijk om het gebruik van rainbow-tables en soortgelijke aanvallen tegen te gaan. Als je vanuit daar redeneert kun je simpelweg zeggen dat een pepper en secret key geen toegevoegde waarde hebben. Je kan ze er best bij zetten maar ze hebben geen nut. Als je vervolgens in je blog ervan gebruik maakt, vind ik dat een beetje slordig staan. Daarom probeer ik je uit te leggen waar een salt goed voor is.

    Ps. Hoe bereken je de salt? Of is deze statisch?

    Stefan.J
    Na aanleiding van je tip heb ik de blog wat aangepast, met natuurlijk een link naar de gegeven tip (ictscripters.com).
    Toen ik wat informatie zocht zag ik dat op de hash_hmac een SALT overdreven was, de secretkey was al voldoende om erop te zetten.

    Wat bedoel je precies met:
    "Ps. Hoe bereken je de salt? Of is deze statisch?"

    @Fils: Mooie wijziging, en bedankt voor de referentie!

    Ik bedoel met het berekenen van de SALT waar deze vandaan komt. Bijvoorbeeld statisch (daar leek het op, altijd dezelfde), random (opslaan samen met het wachtwoord) of berekent uit gegevens van de gebruiker (gebruikersnaam, id, e-mailadres).

    Momenteel staat het gewoon in de code, een combinatie met gebruikersnaam, id & e-mailadres klinkt niet verkeerd.
    Op deze manier is het altijd uniek en heeft niemand dezelfde secretkey, denk dat ik dit direct even ga doorvoeren bedankt!

    Edit:
    De fout codex heb ik alvast online geplaatst, het lijkt weinig informatie maar dit wordt nog uitgebreid.
    Als je dan bijvoorbeeld op OS001 klikt krijg je gedetailleerde informatie over de uitgevoerde query.

    Stefan.J
    Wederom je tip verwerkt met een vermelding op de blog geplaatst http://internetbron.nl/nieuwe-manier-van-session-controle/

    Bewerkt één keer, laatst door WHMCSAddons (10 juni 2013 om 22:44).

    Reza
    Momenteel werk ik nog lokaal dus niemand heeft verder toegang hierbij, het domein http://www.osvendetta.nl heb ik vast gelegd gisteren.
    Het plan is om de verdere ontwikkeling daarop te verwerken zodat er een online voorbeeld is, op http://www.internetbron.nl blijven de updates en releases.

    Momenteel wil M.Martens mee programmeren aan het project, hier ben ik alleen uiterst voorzichtig mee niet omdat hij het is maar voor het project zelf.
    Ik zie veel projecten verwateren en dat is zonde, OSvendetta wil ik zover als mogelijk uitbreiden en zorgen dat het een naamsbekendheid krijgt.


    Kleine update
    Ik heb de registratie en login volledig aangepakt, deze worden nu op de juiste manier verwerkt.
    Een overzicht met informatie kan je hieronder vinden:

    - http://internetbron.nl/fout-codex
    - http://internetbron.nl/updates
    - http://internetbron.nl/nieuws

    De fout codex wordt nog uitgebreid, momenteel verwerk ik alleen de meest simpele dingen op de pagina.
    In de toekomst zal bijvoorbeeld OS001 klikbaar worden waarbij meer informatie vrijgegeven wordt.

    Bewerkt één keer, laatst door WHMCSAddons (12 juni 2013 om 21:02).

    @Hamza-R
    Als iemand deze wilt doneren kan ik er in de V2 wel aan werken, de V1 is puur bedoelt voor verbeteringen en foutoplossingen.
    Momenteel heb ik een kleine lijst met fouten welke ik allemaal rustig aan het bekijken ben, er vallen mij alleen meerdere dingen op.

    - XSS
    - SQL Injection

    enzovoort dus moet localhost even voorzichtig nakijken en herprogrammeren ;)

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login