Beiträge von The Scout

"malt zuerst"? Ich dachte immer, es ginge bei dem Spruch um Mehl, nicht um Kunst?

Wegen dem Cookie neu erstellen: das ist ja nur ein bisschen Text, das geht jetzt nicht wirklich auf die Performance mMn
Ansonsten hast du dieses Problem mit Cookies und Man-in-the-middle immer, solange man sich kein https Zertifikat kauft
Das einzige, was mir sonst noch einfallen wuerde, waere, das Ganze erstmal via JavaScript localStorage zu machen, mit Fallback Alternative auf Cookies fuer JS Phobiker.
Dann wuerde das Ganze seltener gesendet werden und der Man-in-the-middle haette weniger Chancen.

Oder du fragst einfach mal ganz dreist bei Google oAe an, wie die dieses Problem geloest haben

Was ist damit?

if (date("j") == 1)
    $hash = password_needs_rehash(...) ? password_needs_rehash(...) : $hash;

Jeden Monat am ersten, wenn sich da wer einloggt... man koennte auch nen Zeitraum eingeben, zB in den ersten zehn Tagen jedes Monats...
Ich denke mal zumindest, wenn die Leute auch nur halbwegs aktiv sind, sollten sie sich wenigstens einmal alle drei Tage einloggen Und selbst wenn es seltener ist, mit 10 Tagen Zeitraum, sollte man gut laufen, muss man aber ausprobieren...

Nachtrag, weil Quote entdeckt...

Zitat von cottton

das bedeutet ja doppeltes Hashen

Das stimmt so nicht, weil: Wie weiter vorne im Thread erklaert, wird ja Salt und Cost direkt an den Anfang des Hashes gesetzt. Dh password_needs_rehash prueft erstmal nur die ersten paar Zeichen des Hashes, ob sie den Vorgaben entsprechen, die neu mitgegeben wurden.
Da wird noch nichts gehasht, das ist nur ein kurzer Stringvergleich.
Und erst, wenn diese Pruefung das Ergebnis ungleich lieferte, dann wird gehasht. Also kann man das im Endeffekt ohne Probleme auch bei jedem Login einbauen, weil ein Stringvergleich mehr oder weniger ist ja noch nicht die Welt. Bei hashen hast du recht, das wuerde schon ein bisschen an der Geschwindigkeit kratzen.

Aber nur mal nebenbei: Wenn ich aktuell Youtube aufrufe (was auf schnellen Servern liegt) braucht die Seite knapp 7 Sek zum aufbauen (bei zwangsweise VPN ueber Oesterreich).
Da ist ein 5 Sek Login auf einem langsameren Server auch ok...

Heyho,
bisher habe ich ja nur durch frei verfügbare Kurse und Codebeispiele aus dem Internet gelernt. Damit bin ich auch recht gut zurande gekommen, allerdings bleibt man dann ja auch irgendwann auf einem gewissen Level stehen. Es werden halt zu 95% (min.) die Grundlagen oder ein paar fortgeschrittene Techniken erklärt, für alles andere muss man sich durch die Docs wühlen, um dann eigenen Code zu fabrizieren, der vielleicht enorm verbessert werden könnte... ihr versteht hoffentlich, was ich meine

Meine Überlegung: Ich möchte mir Fachbücher zulegen, zu den aktuellen Themen, HTML5 (mit den neuen nativen Möglichkeiten), CSS3 (Responsive Design), JavaScript (mit den neuen zu HTML5 gehörigen APIs), PHP5(.5) (OOP, und anderes), Webpopularitätsaufbau (via SEO, PO, Web Analytics, ...)
Es sollen also Grundlagen (für best practices, siehe HTML5 Boilerplate, nix wirklich Außergewöhnliches verwendet, aber selber wär man nie auf alles gekommen ...), als auch fortgeschrittene/neue Themen (WebSockets bei JS, Node.js, Responsive Design, HTML natives <template>...) angesprochen werden, sodass es sowohl zum mehr lernen, als auch als Nachschlagewerk taugt.

Dabei bin ich auf die Reihe von Galileo Computing gestoßen, welche viele Bücher rausbringen, welche zumindest Titel und Beschreibung nach passen würden.
Nun die Frage: Kennt jemand die Reihe, hat die vielleicht selbst wer daheim, kann man die oder eine andere Reihe empfehlen?

Wär vielleicht auch für Anfänger interessant zu wissen

Da solche Fehler ganze Browser lahmlegen können *hust*IE*hust* würde ich eindeutig empfehlen, sowas gradezubiegen, anstatt zu ignorieren, vor allem, wenn es sowas leichtes wie Whitespacefüllen ist, da reicht ja ne kurze if Abfrage, ob noch Bild da...

Aber natürlich gibt es auch richtig gravierende Fehler, wobei ich erlebt habe, dass schon ein fehlendes Anführungszeichen ein massives XSS zuließ. Und das ist dann richtig scheiße
Da würde ich doch lieber die geringere Mehrarbeit des validierens auf mich nehmen

Hmm,
webbausteine.de hat da eine sehr nette Suchfunktion im Angebot, von der man sich mal inspirieren lassen könnte, oder darauf aufbauen, dran rumschrauben, ...

Ich bin halt faul, ich arbeite gerne mit ner funktionierenden Basis
Aber im Mom bin ich ja verzweifelt dabei, gewissen anderen Leuten, die ich hier nicht nennen möchte, aber Wolf weiß genau, wen ich meine ( ), naja denen möchte ich klar machen, dass eine solide Basis Gold wert ist. Die wollen nur nicht

Heyho,
Ich bin auf eine Sache gestoßen, die sich richtig genial anhört: Content Security Policy!

Erklärung
Kurze Erklärung: Es verhindert Cross Side Scripting!
Lange Erklärung: Via der Content Security Policy teilt man dem Browser explizit mit, welche Scripte/Schriften/Styles/... von welcher Quelle durch die Seite geladen werden dürfen. Versucht nun ein Hacker/Scriptkiddie ein XSS von einer verbotenen Quelle einzuschleusen, wirft der Browser einfach nur eine Fehlermeldung und das Script wird nicht geladen.

Wie geht das?
Nun, da das schon jemand anders sehr schön erklärt hat, möchte ich mich nicht wiederholen, sondern gebe euch einfach den Link zum Artikel: CSP Tutorial

Viel Spaß beim Spielen und endlich wieder ruhig schlafen

Eine Quick & Dirty Loesung von mir waere folgende:
- Zuerst deine zwei .php in .htm(l) umbenennen
- Und dann deine .htacces folgendermassen erweitern

# Alle .htm(l) als .php interpretieren
AddType application/x-httpd-php .html .htm




# Rewrite, falls verfuegbar
<IfModule mod_rewrite.c>
 Options +FollowSymLinks
 RewriteEngine On
 # Ob du die naechste Zeile brauchst, haengt vom Hoster ab
 RewriteBase /




 # Deine Rewrite Regel fuer .htm(l) Seiten
 # Ein bisschen erweitert, sodass auch .htm gehen sollte, im Zweifel einfach das Fragezeichen wegnehmen und mit .html arbeiten
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteCond %{REQUEST_URI} !\.html?$ [NC]  # Hier das Fragezeichen nach html
 RewriteRule ^(.*)$ $1.html [L]
</IfModule>

Durch den ersten Befehl der .htaccess werden alle .htm(l) Seiten durch den PHP Interpreter gejagt (deshalb auch umbennen), danach wird deine Umbennenung angewandt, die jetzt auch bei den PHP Seiten greift.
Allerdings wird durch diese Loesung deine Seite ein wenig langsamer, da ja ALLE .htm(l) Seiten erst durch den PHP Interpreter gehen, auch wenn es nicht noetig waere.

Wenn allerdings das Fragezeichen greift (RegEx, selber gucken, was es heisst ^^), dann kannst du auch das .html im ersten Befehl rausnehmen und deine PHP Dateien als .htm (ohne ell ^^) speichern. Das Rewrite wuerde fuer .html und .htm greifen, aber nur .htm wuerde als PHP interpretiert werden.

# Neuer erster Befehl
AddType application/x-httpd-php .htm

Vielleicht hat ja jmd eine bessere Idee, die hier sollte aber zumindest funktionieren.

Tach und willkommen im Forum,
um mich meinen Vorrednern anzuschliessen: das HTML Seminar bietet eine hervorragende Grundlage.

"Wenn ich es schaffe eine HP "valid HTML 5" und "valid CSS3" zu erstellen, damit ist ja im Grunde nur das Design gemeint, oder ?" - Kurz gesagt: nee, auch die Logik
CSS ist das Design der Website, HTML die Logik. Dh, wenn beides valide ist, hast du eine richtig funktionierende Seite, die auch noch (hoffentlich) gut aussieht
Du kannst theoretisch aber auch eine Seite ohne CSS, nur mit HTML erstellen (andersrum geht nicht!), nur ist dass dann ein bisschen SEEEHR minimalistisch ...

Also, zuerst mit HTML den Rahmen und die Logik (auch zum Inhalt gehoerende Bilder/Videos/...) valide erstellen, und hinterher mit CSS das Design (mit HINTERGRUNDbildern/...) drueberpacken. Und bei beidem halt die neuesten Standards verwenden, dann hast du eine Seite mit HTML5 und CSS3!

Und wenn wir schon dabei, sind, Tipps für die DB Verbindung zu geben, dann von mir: nutze PDO, fang gar nicht mehr erst an, das tabellenspezifisch zu machen.

PDO ist eine Abstraktionsebene, dh mit der kannst du dich mit der gleichen Syntax in verschiedenen DB-Systemen (MySQL, SQLite, PostgreSQL, Informix, ...) einloggen. Weiterer Vorteil, wenn man es richtig nutzt, muss man sich nicht mehr so massiv in maskieren reinlesen, weil es automatisch schon einen großen Teil entschärft, wodurch SQL Injections (SEEEHR gefährlich) praktisch unmöglich werden.

Also, guck es dir mal an: http://www.php.net/manual/de/book.pdo.php
Würde ich dir absolut empfehlen. Kleiner Nachteil allerdings, dein Provider muss es zur Verfügung stellen, kannst ja mal bei phpinfo() nach PDO suchen und es dir ggf. nachrüsten lassen, ist enorm praktisch!

Hab ich was verpasst? Ist das Update schon durch?

Ja, mit Leichenschänder meinte ich den Thread

Und nu mal halb offtopic:
Beim Bogenschießen musst du dich erstmal grob für eine von zwei Richtungen entscheiden: Entweder technisch oder traditionell (instinktiv). TEchnisch ist mehr, wie mans von Olympia kennt, mit Haufenweise Stabilisatoren und Zielgeräten am Bogen und auf Scheiben schießen
Traditionell ist das, was man eher so von Robin Hood oder Survivalfilmen kennt: Keine Stabis, nur ein normaler Recurve oder Langbogen und man zielt nicht bewusst (Sollte man aber mal gezeigt kriegen)
Meist ist es aber so, dass die Vereine beides anbieten, google einfach mal nach Bogenschießen Verein (oder Schreibvarianten), vor allem im Süden Deutschlands gibts da ne Menge. Bögen kann man sowohl in Fachgeschäften kaufen oder bei den Geschäften oder Vereinen mieten. Aber um es mal nur auszuprobieren kannst du sicher für ein zweimal auch die Aurüstung gratis nutzen.
Nur wenns dir gefällt, würde ich empfehlen, dir die Ausrüstung längerfristig zu besorgen (ob für Jahr mieten oder kaufen is wurscht), weil die nämlich auch aufeinander und dich abgestimmt sein sollte.

Ich selbst hab nen eigenen Takedown-Recurve und bin nicht im Verein, ich hab nen Schießkurs für instinktives Schießen gemacht und besuche gerne die 3D Parcours (Gummitiere jagen).

Jiop.

Halli hallo,
Frage zur frühen Stunde (naja, 10:00 Uhr...): Wie bastele ich ein Script mit jQuery, welches ein beliebiges aufrufendes Formular als Affenformular behandelt? Folgende Basis habe ich bereits:

$(function() {
    $("form").submit(function() {
        //Das eigentliche action verhindern
        event.preventDefault();




        //Metadaten zum Senden vom entspr. Formular kriegen
        var formurl = $(this).attr("action");
        var formdata = $(this).serialize();
        var formmethod = $(this).attr("method");




        /* Hier würde ich gerne noch eine Überprüfung der Daten einbauen,
         * bevor das Skript gesendet wird. Quasi ein JS Affenformular, 
         * also sollen diese Daten auch wieder im richtigen Formular erscheinen!
         */




        // Daten senden
        $.ajax({
            type: formmethod,
            url: formurl,
            data: formdata,
            statusCode: {
                404: function() {
                    //Frage: Geht dieser Aufruf so? Ich habe in jedem Formular ein div mit Klasse "message", wobei ich abhängig vom aufrufenden Formular das Richtige ansprechen möchte
                    $(this ".message").addClass("error");
                    $(this ".message").html("Das angegebene Programm konnte nicht gefunden werden!");
                    console.log("Fehler 404: " + formurl);
                    // Und auch hier wieder die Daten ins Form einbauen!
                },
                200: function(data) {
                    /* Hier Daten auslesen, um zu gucken, ob das Eintragen erfolgreich war
                     * wenn ja, wird success == true; gesendet, sonst nicht
                     *
                     * Dementsprechend Klasse zur Messagebox waehlen.
                     * Uebrige Daten enthalten die Nachricht, zB "erfolgreich eingeloggt" oder "falsches Passwort"
                     */
                    $(this ".message").html(/* Hier die data der Nachricht */);
                }
            }
        });
    });
});

Code sollte ausreichend kommentiert sein um Details zu erklären.
NochmalÖ Es soll ein Skript werden, welches für jedes Formular läuft. Da ich jQuery sowieso auch für andere Dinge einbaue, nehme ich es auch hier, ist leichter

Beim zweiten Cookie neben dem Fingerprint des Browsers noch eine temporaere ID speichern (sowohl im Cookie, als auch in der DB) und jedes Mal, wenn der User wieder auf die Seite kommt, diese ID aendern...
Dann hast du ein Cookie mit dem PW Hash und eins mit der EinmalID. Selbst wenn sich jetzt jemand als Man-in-the-Middle zwischenschaltet, und die Daten kriegt, bringt es ihm nicht mehr viel, da er nur Infos fuer einmal bekommen koennte.

Dann noch eine Mail, wenn das PW geaendert wird, senden und schon weiss der der Besitzer des Accs, dass da was beim letzten Mal faul war.

Übrigens, wenn es den Beriehc jetzt schon gibt, dann könnte man doch diesen Thread gleich mal in "Mobilgeräte" >> "Technik & Geräte" schieben, da wäre er jetzt besser aufgehoben, oder?

Coole Sache!
Aber ist jetzt nicht 22:18? Wolltet ihr nicht vor 20 Min loslegen? Verdammt, Zeitverschiebung vergessen

Folgendes Problem:

Ich habe ein File, normales HTML, Umlaute sind NICHT maskiert.
Dieses speichere UTF-8 codiert (Notepad++ 6.5.3), mit UTF-8 als Charset im Header (HTML 5), habe eine htaccess auf dem Server mit

[s]AddDefaultCharset UTF-8[/s]

, welche Keinen 500 Error verursacht, sowie die Datenübertragung zum Server (1und1) auch UTF-8 (Filezilla 3.7.4.1).

WARUM zum Henker werden dann die Umlaute TROTZDEM nicht vernünftig angezeigt (Opera 19.0) Wo fehlt da was
Und müssten dann, falls ich den passenden Webfont hochlade und nutze, nicht theoretisch auch diese Dingbats (Pfeil, Häkchen, Kreuz, etc) unmaskiert anzeigbar sein?[/s]

Hat sich erledigt, ich hatte UTF-8 mit BOM als Kodierung, es brauchte ohne

Thread kann man wegpacken...

Meh.

Übrigens wäre es cool, wenn dann gleich noch Spoiler mit dazukommen könnten, dann müsste man nicht mehr kilometerlang über schon längst gelesenen Code scrollen...
Am Besten so, dass die Codeboxen selbst den gleich mitliefern, quasi so, dass zB neben dem Schriftzug HTML

<!-- Hier Code -->

ein Button erscheint "Code anzeigen" und erst wenn man auf den klickt, wird der Code (zB der Kommentar) eingeblendet.

Wäre das evtl. noch kurzfristig möglich?

Du Leichenschänder

Aber Arrow finde ich jetzt nicht schlecht, allerdings eher, weil ich selbst Hobbybogenschütze bin. Breaking Bad kommt man hier so schlecht ran, das wollen dir nur sporadisch streamen lassen

Ich behelf mir grad meist mit Agents of Shield Irgendwie auch witzig, obwohl eine schlechte Serie

Und auch, nu wieder zubuddeln, bitte...

Wenn hier schon Leichen geschändet werden, gebe ich auch mal meinen Senf dazu (DAS klingt makaber, merk ich grad...)

LoL China, AC 4 und Skyrim.
JA, Skyrim, das Spiel ist immer noch geil!

Achja, und die ESO Beta, wenn se mal wieder öffnen...

Und nu bitte wieder zubuddeln, danke