Nu ik een beetje een systeem in elkaar heb gezet, wil ik het ook veilig hebben. Nu zijn er meerdere mensen die zeggen dat zelfs een "kleuter mijn systeem kan hacken". Nu zoek ik vrijwilligers die van alles in mijn systemen uit gaan testen, en de fouten aan mij gaan melden.
Iets wat me opvalt, bij Gastenboek:
Je hebt dit:
<input name="visitor_name" type="text" id="kode_visitor_name" value="Gast" size="20">
Waardoor dus "Gast" vast als waarde komt te staan.
Iets wat me opvalt, bij Gastenboek:
Je hebt dit:
<input name="visitor_name" type="text" id="kode_visitor_name" value="Gast" size="20">
Waardoor dus "Gast" vast als waarde komt te staan.
Ja, ik ken de attribuut placeholder. Als je ingelogd bent, hoort er je gebruikersnaam te staan, maar als je niet ingelogd bent, komt er dus "Gast" te staan. Dit is natuurlijk niet handig, en dat ga ik dus zo snel mogelijk aanpassen! Bedankt voor de moeite!
_________________________________________________________________
Even een toevoeging op de opmerking van Kris Peeters,
In IE 9 of lager werkt placeholder nog niet. Hierdoor zien je bezoekers dus een lege tekstvak waardoor ze bijvoorbeeld bij de registreer pagina, niet weten wat ze moeten invullen in welk tekstvak. Zoek eens op google naar; 'Placeholder replacement IE9'.
Wat je ook kan doen, is een bericht weergeven dat de website niet goed functioneert bij een oudere versie IE9. Helaas schrikt dit wel bezoekers af. Daarnaast staat op de Inlogpagina, de knop Lakitu, gezien de pagina waar hij naartoe leid, lijkt het mij niet de bedoeling dat hij daar staat.
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Ik zag trouwens ook dat treinencool admin is, ik ken hem nog van webklik (iedereen moet ergens beginnen). Het is leuk om hem weer eens te zien na een lange tijd.
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Ja, inderdaad;
In de HTML broncode zie je dat paswoord dan ongecodeerd.
dat lijkt me niet de bedoeling.
Polyfills zijn kleine scriptjes die geactiveerd worden op het moment dat een browser iets niet support en het scriptje zorgt er dan voor dat de browser het wel gaat supporten (maw hij maakt de feature zelf).
Modernizr, een library voor het testen van support, heeft een lijst met huidige stable polyfills. Een officiƫle lijst/groep mensen is er niet.
Even een toevoeging op de opmerking van Kris Peeters,
In IE 9 of lager werkt placeholder nog niet. Hierdoor zien je bezoekers dus een lege tekstvak waardoor ze bijvoorbeeld bij de registreer pagina, niet weten wat ze moeten invullen in welk tekstvak. Zoek eens op google naar; 'Placeholder replacement IE9'.
Wat je ook kan doen, is een bericht weergeven dat de website niet goed functioneert bij een oudere versie IE9. Helaas schrikt dit wel bezoekers af.
Bedankt voor de informatie, ik ga denk ik een polyfill gebruiken.
Daarnaast staat op de Inlogpagina, de knop Lakitu, gezien de pagina waar hij naartoe leid, lijkt het mij niet de bedoeling dat hij daar staat.
Daar staan de online gebruikers, en op dat moment was Lakitu online. Maar ik ga het voor gasten verbergen.
Zodra ik inlog met een verkeerd wachtwoord, staat het veld voor het wachtwoord nog ingevuld, misschien een idee om dit leeg te maken zodra het wachtwoord fout is.
Dit ga ik binnenkort weghalen.
Ik zag trouwens ook dat treinencool admin is, ik ken hem nog van webklik (iedereen moet ergens beginnen). Het is leuk om hem weer eens te zien na een lange tijd.
Ik ken hem ook van Webklik, maar ik ben zelf PHP gaan leren, en ben een paar maanden geleden naar Neostrada gegaan.
brute force hack is mogelijk bij het inlogsysteem
Ik heb gelezen wat het is, en ik weet wel een oplossing, je mag het wachtwoord een paar keer fout hebben, en na 3 keer ben je voor 15 minuten verbannen. Dat lijkt mij wel veilig.
Over de polyfills, ik ga kijken of ik er 1 kan vinden voor placeholder.
Ik heb vandaag eens uitgebreid kunnen kijken, gister had ik het helaas druk maar voor de afleiding kon ik wel even kijken ;)
Wat mij direct opvalt is de pagina leden. Hierop staan alle leden netjes onder elkaar. Mooi, maar wel storend als je bijvoorbeeld 300+ leden hebt dan krijg je namelijk een hele lange pagina te zien met allerlei namen. Kijk dus of je dit kan opsplitsen, of naast elkaar kan zetten in mooie kolommen.
Daarnaast heb ik bij mijn registratie geen geslacht kunnen invoeren. Terwijl dit later wel op de site wordt getoont, een optie om dat toe te voegen zou wel handig zijn, hetzelfde bij de geboortedatum. Verder op de pagina ucp.php?action=profile zou ik de knoppen <b><i><u> juist bovenaan de textarea plaatsen, dit zorgt voor meer duidelijkheid ;)
Ik zou de buttons die bovenaan de pagina ucp.php staan verwijderen, ze staan tenslotte al onder het menu -> Mijn account, als ze daar niet bij staan kan je ze er misschien nog toevoegen.
Voor de rest een mooie functionele site. Een mooie layout keuze, strak waar ik juist van houd. Ook niet te veel lichte kleuren, wat ook weer een pluspunt is! De chat is ook een mooie functie waar je veel plezier van kan hebben.
