Het kan eraan liggen dat de makers van de site hetzelfde model gebruik als forumidee. Ik weet niet hoe dat heet, kijk maar eens op forumzaken!! Hier staat al vaker zo'n onderwerp aangegeven.
Bart is een van de developers van het phpbb forum. dat hoef je overigens niet te kopen maar is gewoon gratis. Allen mis je dan wel een aantal dingen die je op bokt wel hebt.
Paardentweet: Zag laatst een meisje onderweg naar haar paard met kogelvrijvest aan. Dat paardrijden is ook niet meer wat het geweest is.. [IM] Julius....16 jaar alweer...
wat me zo verbaast aan phpbb is hoe eenvoudig het is voor een beheerder om persoonlijke dingen te kunnen lezen van gebruikers. vooral voor een stuk software waarbij naar eigen zeggen beveiliging op de eerste plaats komt.
Eeeh. Hoe denk je dat een mailserver er uit ziet? Hoe gemakkelijk denk je dat het is om bankgegevens naar boven te toveren als je bij een bank werkt? Een MSN gesprek? Enige waar het hierom gaat is vertrouwen. Als jij de beheerder of het bedrijf achter de software of de server niet vertrouwt dan gebruik je de betreffende dienst gewoon niet. Simpel Verder is het in het geval van software als phpBB gewoon onmogelijk om de berichten zo op te slaan dat de server er niets van kan bakken. Dan zou je in de client met een soort van Public Key achtig systeem het bericht moeten decoderen. Niet bepaald een optie voor dit soort software.
ƃuılıǝɔ ǝɥʇ uo ƃuıɔuɐp ǝɹ,ǝʍ uǝɥʍ 'ƃuılǝǝɟ ɐ ʇɐɥʍ ɥo "Als je niets te verbergen hebt, ben je een Ozosnelle paashaas" - Loesje
van smtp en pop is nooit gezegd dat security op nummer 1 staat. idd een public/private key encryptie zou een optie zijn, dat is enigzins secure. misschien iets voor versie 3?
No way. Enig idee hoe _enorm_ veel complexiteit dat met zich meebrengt en hoeveel langzamer alles dan wordt? En hoe belachelijk veel support problemen dat gaat geven? *brrr* En het levert uiteindelijk helemaal niets op zolang je PBs niet gebruikt voor staatsgeheimen en je de admin vertrouwt. Ik denk dat we liever onze tijd stoppen in zorgen dat je b.v. PBs naar meerdere mensen kan sturen Als je echt zo bezorgt bent over het uitlekken van PBs dan kan je beter gewoon email gebruiken samen met PGP.
ƃuılıǝɔ ǝɥʇ uo ƃuıɔuɐp ǝɹ,ǝʍ uǝɥʍ 'ƃuılǝǝɟ ɐ ʇɐɥʍ ɥo "Als je niets te verbergen hebt, ben je een Ozosnelle paashaas" - Loesje
Secure gaat enkel en alleen om security van buiten af. Dus dat je buurman na een kwartiertje freubelen op jouw forum niet ineens admin is (en dan overigens nog steeds geen PBs van users kan lezen).
wat ik op zich wel grappig vind is dat de wachtwoorden wel versleuteld opgeslagen worden in de database, en de persoonlijke berichten niet. is daar een reden voor?
Yup. De wachtwoorden hoeven nooit meer omgezet te worden naar de oorspronkelijke tekst. Dat is ook een van de redenen dat je een nieuw wachtwoord krijgt als je je wachtwoord niet meer weet. Mijn wachtwoord in de database is bijvoorbeeld:
92eb5ffee6ae2fec3ad71c777531578f
dat is berekend door de md5 functie. Die functie pakt een stuk tekst (mijn wachtwoord) en laat daar een hoop berekeningen op los. Het leuke is nu dat die berekeningen maar 1 kant op werken. Uit bovenstaande string kan je niet terug rekenen naar mijn wachtwoord. Als ik nu in probeer te loggen dan laat de server die md5 functie weer op mijn (echte) wachtwoord los en als het resultaat van die berekening hetzelfde is dan heb ik weer hetzelfde wachtwoord ingevoerd als bij de laatste keer dat ik mijn wachtwoord veranderd heb.
Bij priveberichten kan je dat natuurlijk niet doen. Hier wil je terug kunnen rekenen van een versleutelde vorm naar een weer leesbare vorm. De versleuteling moet dus twee kanten op werken en dus heb je een sleutel nodig. Het is nogal zinloos als die sleutel bekend is op de server en dus heb je iets nodig als dat PGP verhaal waarbij de verzender je PB codeert met jouw publieke key waarna het bericht alleen nog maar met jouw private key terug te rekenen is naar de oorspronkelijke tekst. Daarvoor is dus bij zowel de zender als de ontvanger een flinke hoeveelheid javascript, Java of Flash nodig en dat gaat enorm veel problemen geven. Ook omdat je die secret key ergens veilig wilt laten en dan wordt het dus erg moeilijk om je PBs te lezen vanaf een andere PC.
als ik ooit werkelijk geen drol te doen heb zal ik me eens verdiepen in md5.
netware werkt al jaren met public/private key encryptie (RSA), de sleutels van de gebruikers worden op de server bewaart, hierbij wordt idd wel een stukje clientsoftware gebruikt, dat kost bijna nul processorkracht.
wel ambitieus om het eerste echte RSA encrypted forum te maken...
Hihi, en jij denkt dat Bart nog tijd over houdt? Ik heb nog een lijstje hoor.
Paardentweet: Zag laatst een meisje onderweg naar haar paard met kogelvrijvest aan. Dat paardrijden is ook niet meer wat het geweest is.. [IM] Julius....16 jaar alweer...
Bart is een van de developers van het phpbb forum. dat hoef je overigens niet te kopen maar is gewoon gratis. Allen mis je dan wel een aantal dingen die je op bokt wel hebt.
Veel van die extra dingen zijn gewoon los te downloaden hoor . Niet alles, maar je komt toch al een heel eind.