Er werd mij gerapporteerd dat men met een 1px foto te plaatsen op onze site, het mogelijk was om de ip's van onze leden te stelen.
Dit is nu eenmaal een inherent gegeven van een website.
Als een bezoekers een foto inlaadt (of wat dan ook voor file) van een andere server, dan ziet deze server welk ip dit inlaadt.

Op zich is dit geen beveiligingsproblemen, want de bezoekers laadt dit in.
Maar om dit nu toch duidelijker te maken, moet je afbeelding nu een minimum aantal pixels bevatten.
Hierdoor ziet de gebruiker dit uiteindelijk beter.

Hebben jullie nog suggesties hoe we dit beter kunnen beveiligen?
Hoewel het op zich niet echt een probleem vormt...

Koen

Het is niet langer mogelijk om foto's van 1px te tonen op CriminalsPoint.
Dit om de veiligheid van onze leden te waarborgen.

Diegene die hier nu nog kinderachtig over gaat beginnen te doen over der percentages krijgt een banpunt.
Je kan het er even over hebben, maar zo blijven erop doordrammen :-s

1) Gerben krijgt 50% van de inkomsten en DiMoWeb krijgt 50% van de inkomsten.
Gerben heeft gekozen om de helft van zijn 50% af te geven aan een designer - in plaats van een template te nemen van een gratis site.
Dit is volledig zijn keuze en die respecteer ik.

2) Onze servers kosten veel veel meer dan wat ik verwacht dat dit project de eerste 3 jaar gaat opleveren. Het is dan ook niet meer dan logisch dat er een aanzienlijk deel van de (lage) advertentie inkomsten gaat naar de server en het beheer van de server.
Bovendien krijgt Gerben een systeem aangeleverd dat al alle tv posten inlaadt. Het enige dat hij moet doen is het wat netjes vorm geven en presenteren.
Ik heb hier zelf in het verleden al meer dan 10 uur aan gewerkt, om dit systeem goed werkend te krijgen.
Ook dit heeft mee geleid tot de bepaling van de 50%.
Wat mij en Gerben betreft dus een eerlijke verdeling.

ON TOPIC AUB!

Eerste keer dat ik er als Belg van hoor...
We hebben niet eens een "lagerhuis"?

"het kabinet van demissionair premier Yves Leterme"
En wat is een demissionair?

Ok, verkoop in afwachting van duidelijkheid gesloten.

Op de site van wmcity zelf...

Crimescripter is nooit open source gelanceerd.
Inderdaad best webtiger ofzo gebruiken.

http://twitter.com/k_rens

Willem: rkhunter ea. helpen niets tegen ddos! Dit is gewoon een scanner die kijkt of er bepaalde rootkits op je server draaien, die zich verbergen.

Verder kun je zoals eerder aangegeven niets doen tegen een goed opgestelde Ddos. Zelfs additionele servers en firewall's kunnen niets beginnen tegen aanvallen vanaf een botnet met verschillende ip's.

Een klein voorbeeld: bij Ernst & Young vallen wij bedrijven aan, wij hebben hiervoor een firewall, die niets anders doet dan alles blokkeren buiten onze uitgaande aanval, zeer simpel dus.
Als wij de aanval starten met 2x 100 mbit/s, kan onze firewall het al niet meer trekken voor een derde. De server heeft 8 gig ram.

Als je een goede aanval doet, met voldoende requests, vertraagt de server sowieso, want elke request moet worden nagekeken door de firewall rules.

Ik weet dat veel mensen dit gaan tegenspreken, maar als je dit niet aan den lijve ondervonden hebt, gelieve dit dan niet onbezonnen te doen - want bij ons is dit wel zo.

http://onlinegamemanager.nl toegevoegd.
Onze sites werken wel grotendeels op ie6, maar ik bied 0,0 support hiervoor.
Dit inderdaad om de oudere mobiele toestellen niet te blokkeren.

Inderdaad, je moet ook naar de service kijken.
Bij Belgacom is die redelijk goed, ook al hadden we vorige maand voor de eerste keer een week geen internet (kwam door de feestdagen rond pasen).

Telenet is naar verluid beter als je televisie gaat kijken digitaal. Maar qua gewoon internet moet Belgacom niet echt onderdoen, ben er redelijk tevreden over.

Waarom overweeg je enkel telenet en belgacom, en geen scarlet of de andere en goedkopere providers?

Ik vind het een hele goede en interessante site.
Zelf ook een paar van de artikels gelezen.
Goed gedaan!

Reverb: wij werken non-profit.
Zoals je kan zien werken wij tegen inkoopprijs.
Verdienen doen we er niet aan

Ons enige doel is om zelf een hogere verkoop te krijgen, zodat wij betere tarieven krijgen.
We combineren meerdere sites, om zo maximaal een hogere uitbetaling te krijgen
...Iedereen wint...

Inderdaad, vergeet niet dat wij non-profit werken en dat CP nog altijd niet winstgevend is

Verder is winst ons doel niet en hebben wij maar 1 designer, met eigen licentie...
Voor ons weegt dit dus niet op tegen de kosten.
2000 dollar is ongeveer 1600 euro, daar kunnen wij een jaar lang 2 servers van betalen...
Liever 2 servers dan 1 licentie (xD)

Als het aan mollie ligt, denk ik niet dat dit op te lossen valt.
Sorry als het als spam klinkt, maar je kunt eens http://www.dimopay.com proberen, is in mijn ogen een vrij simpel systeem.

De code staat op:
http://www.criminalspoint.com/db/script/164.html

Zalige, die patchmaker
Maar veel te duur voor mij...

Ik hou het bij irfanview

Volgens mij definieer je het niet goed, je variabele, die je naar de ctype stuurt.
Er is een verschil tussen een integer en een string zelf.

<?php


$numeric_string = '42';
$integer        = 42;


ctype_digit($numeric_string);  // true
ctype_digit($integer);         // false


is_numeric($numeric_string);   // true
is_numeric($integer);          // true
?>

Bij een server update zijn de websites normaal gezien maximum 5 seconden offline (tot alle processen gesloten zijn en de nieuwe is gestart).

Hiervoor is het niet nodig dit aan te kondigen.
Bovendien kondig je hiermee ook aan dat je op het moment van de aankondiging zelf, nog niet up2date was, waardoor aanvallers weten dat ze konden proberen binnen te breken.

Verder werd dit getest op een kopie van de server, waar het vlekkeloos verliep.
Daarom werd er gekozen om dit niet aan te kondigen...

Edit: Alle server onderdelen (ook onze interne management consoles) werken nu weer.

Wat normaal zou moeten hebben verlopen als een vlekkeloze upgrade van onze server, is uiteindelijk uitgedraaid in een mysterieuze aaneenschakeling van problemen.

Kort gesteld was het plan het volgende:
Apache en php updaten

Probleem:
Tijdens de upgrade maakte de server vanzelf een config file aan voor MySQL: /etc/mysql/*

Waarom werd dit niet sneller ontdekt?
Simpelweg omdat wij standaard deze map niet gebruikten en dit niet duidelijk naar voren kwam in het proces.

Kort gesteld hebben wij alle services 3x moeten hercompileren, wat telkens een uur duurde.

Ik snap niet waarom apache/php een config aanmaakt voor mysql, aangezien deze dit niet horen te doen.
Zo zie je maar dat zelfs als alles getest is, er toch nog zaken zwaar fout kunnen lopen.

Zonde, maar niets meer aan te doen.

Ps: op de test server verliep het wel correct.

Bedankt voor jullie begrip en slaapwel.
Koen

[offtopic]Nee, inveNsteren ken ik niet (xD)[/offtopic]

Je moet inderdaad eerst geld investeren, voor iets geld kan opbrengen.
Vanzelf lukt bijna niets...