Suchwörter   (werden UND-verknüpft)
Keines der folgenden   keine eigenen Beiträge
Name des Autors 
resp. Themenstellers 

nur dessen Startbeiträge
auch in Antworten dazu
Forum 
 Suchrichtung  Auf  Ab Suchmethode  Sendezeit Empfehlungbeta [?]
       Die Suche erfolgt nach den angegebenen Worten oder Wortteilen.   [Suchtipps]

Link auf dieses Suchergebnis hier

Forum
Thema Eingetragen
Autor

Programmieren
  
Thema eröffnet von: Goswin
Feature-Unterstützung des Webbrowsers LG_webOS_TV  
Beitrag No.5 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2020-01-26
TheBear
 

Das stimmt nicht ganz - webOS nutzt WebKit als Renering Engine. Die (wahrscheinlichen) Versionen kannst du hier anschauen, bei den UserAgent-Strings:



Der Browser verhaelt sich also wahrscheinlich wie ein Safari (in webOS 1 und 2) bzw. wie ein Chrome 38 (webOS 3) oder Chrome 53 (webOS 4).

Das ist zwar hoffnungslos veraltet alles, aber du kannst immerhin rausfinden, was der Browser so kann.


Bug- und Request-Tracker
Universität/Hochschule 
Thema eröffnet von: liguria
Password-Hashes in Cookies und andere Undinger  
Beitrag No.27 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2020-01-20
TheBear
 

2020-01-19 19:40 - liguria in Beitrag No. 24 schreibt:
Das ist die Realität, der sich Dienstanbieter stellen müssen, nicht irgendwelche Träumereien von 20-stelligen Zufallsphrasen mit Sonderzeichen und kyrillischen Buchstaben.

Am Rande: Die von der MP-Rücksetz-Funktion generierten Passwörter enthalten nur Zahlen und Kleinbuchstaben. Da Nutzer nicht zum Setzen eines neuen und sicheren Passwortes verpflichtet werden, ist davon auszugehen, dass viele dieser Passwörter unverändert im Gebrauch sind.

Passwoerter muessen nicht unbedingt Sonderzeichen usw. enthalten - Wichtig ist die "Menge" Zufall (Entropie), die bei ihrer Generierung verwendet wurde. Es waere ziemlich gut, wenn man als Passwort einfach einen vollstaendigen deutschen Satz verwenden wuerde, der zufaellig (mit einem richtigen Zufallsgenerator!) aus einer Menge von 2^40 deutschen Saetzen ausgewaehlt wurde. Da haette man dann 40 bit Entropie, was schon im akzeptablen Bereich liegt.

Alternativ und realistischer: 4 Woerter, die aus einem Wortschatz von 2^10 = 1024 Woertern zufaellig (mit einem richtigen Zufallsgenerator!) ausgewaehlt wurden, und durch Leerzeichen getrennt als PW verwendet werden. Das ergibt ebenfalls 40 bit Entropie.

Obligatory XKCD:

Bug- und Request-Tracker
Universität/Hochschule 
Thema eröffnet von: liguria
Password-Hashes in Cookies und andere Undinger  
Beitrag No.26 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2020-01-20
TheBear
 

Hi trunx,

2020-01-19 19:33 - trunx in Beitrag No. 23 schreibt:
als schlosserlehrling wurde mir einst von meinem meister eine kiste mit 10 geschlossenen vorhängeschlössern, die zu öffnen waren ehe es mit der ausbildung weiter ging. heute würde man das lockpicking nennen. aus dieser zeit weiss ich einfach noch, dass die meisten fahrradschlösser nichts taugen (übrigens auch nicht die meisten autoschlösser, haus- und wohnungstürschlösser usw.), dennoch bin ich mit meinem fahrrad und einem relativ untauglichen schloss unterwegs. ich setze dabei auf zwei dinge: für die, die keine ahnung vom lockpicking haben, bietet mein schloss ausreichenden schutz und für die, die ahnung haben, kann ich nur hoffen, dass mein fahrrad nicht wertvoll genug ist. ich könnte aber auch einen wachschutz engagieren.

das ist aus meiner sicht 1:1 auf den MP übertragbar. wie gesagt, ich würde es anders sehen, wenn es ums online-banking oder dergleichen ginge.

Das laesst sich leider nicht direkt uebertragen - Es gibt zwei Unterschiede:
 1. Fuer Auto, Fahrrad, Haustuer, Firmentuer usw. verwendest man jeweils unterschiedliche Schluessel, und wahrscheinlich sogar unterschiedliche Fabrikate von Schluessel und Schloss. Das tun die (meisten) Leute bei Passwoertern nicht.

 2. Der Schaden bei einem geklauten Auto oder Fahrrad oder gar Wohnungseinbruch ist relativ begrenzt - man verliert ein paar hundert oder tausend Euro, aber das ist ersetzbar. Dazu kommt die psychische Belastung, z.B. Angst in der eigenen Wohnung.

Bei einem geknackten Passwort kann man seine Identitaet verlieren - was mit ungleich hoeherem finanziellen und psychischem Aufwand verbunden ist. Denn wenn mit der eigenen Identitaet Straftaten begangen werden, muss man unglaublichen Aufwand darein stecken, seine Unschuld zu beweisen. Und bei den "richtigen" Straftaten (Kinderpornos...) haengt einem dann auch noch ein soziales Stigma mit allen Konsequenzen an, das man nicht so leicht wieder los wird - selbst wenn man noch so unschuldig ist.

Daraus ergibt sich: Wenn jemand das Passwort fuer einen Account beim Matheplaneten knacken kann, und auch noch andere Daten dazukriegen kann (z.B. durch Zugriff auf die Datenbank per SQL-Injection), beispielsweise die E-Mail-Adresse, dann kann derjenige damit vielleicht das Mailkonto knacken. Und hat damit dann auf mal Zugriff auf fast alle Konten des Nutzers, da man mit Zugriff auf die Mails die Passwoerter zuruecksetzen kann. Wo ueberall das Opfer Accounts hat findet man durch die Mails ebenfalls schnell raus. An dem Punkt ist das Scheunentor dann schon weit offen - der Angreifer kann Malware im Postfach deponieren (z.B. einen Anhang austauschen) und damit Zugriff aufs Online-Banking bekommen. Oder einfach die jetzt geklaute Identitaet nutzen, um illegale Dinge zu tun, s.o.

Fuer einen einzelnen Account lohnt sich das nicht - wenn man aber entweder den Angriffsaufwand minimiert (was getan wird, potentiell unsichere Seiten werden automatisiert gesucht), oder ein ausreichend grosses Ziel mit vielen Accounts hat, dann lohnt sich das auf einmal. Selbst wenn man nur bei 1% oder 0.1% der Accounts das Passwort knacken kann. Und was sich lohnt, wird leider auch gemacht :/

Bug- und Request-Tracker
Universität/Hochschule 
Thema eröffnet von: liguria
Password-Hashes in Cookies und andere Undinger  
Beitrag No.22 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2020-01-19
TheBear
 

Leute, liguria hat recht.

MD5 ist nicht als Passwort-Hash zu verwenden. Schon gar nicht ohne Salz. Aber auch mit Salz nicht.

Ich kann aber nicht sagen, ob der MP wirklich auch MD5 verwendet, kanns mir aber auch vorstellen. Im Cookie hab ich auf die Schnelle nichts gefunden, hab aber auch nicht sehen koennen, was dort gespeichert ist. Ein Zufallswert war der Cookie-Wert aber nicht.

Loesung: Fuer die Cookies PHP-Sessions verwenden, fuer das Passwort-Verarbeiten die PHP-Funktionen "password_hash", "password_verify" und "password_needs_rehash" verwenden. Dann beim Login der Leute den Passwort-Hash aktualisieren, und alle nach dem Update auf die neuen Funktionen einmal zwangsausloggen.

Ich habe keine Ahnung wie einfach sich das in der MP-Software realisieren laesst, aber gemacht werden sollte es auf jeden Fall.

@trunx usw.: Das Risiko ist nicht vernachlaessigbar - vielleicht nicht fuer euch, aber es gibt sicher eine Menge Leute, die das selbe Passwort fuer verschiedene Seiten und z.B. ihre Mails verwenden. Diese Leute sind durch solche Dinge wie die Verwendung von MD5 oder SHA1 oder so fuers Passwort-Hashen alle gefaehrdet. Zugegeben, diese Leute nutzen keinen Best-Practice-Approach fuer die Passwort-Vergabe, aber das tun die wenigsten. Abgesehen davon, dass Passwoerter eh eine der fuer Menschen am schlechtesten nutzbaren Sicherheitsvorkehrungen sind, die es so gibt. Der Mensch ist nicht gut darin, sich lange Zeichenketten exakt zu merken.

Programmieren
  
Thema eröffnet von: Goswin
Feature-Unterstützung des Webbrowsers LG_webOS_TV  
Beitrag No.3 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2020-01-11
TheBear
 

Hi Goswin,

der uebliche Weg, mit sowas umzugehen, ist eine Feature-Detektion durchzufuehren. Haeufig wird dafuer die Javascript-Bibliothek "modernizr" verwendet:

Ebenfalls hilfreich ist diese Datenbank ueber die jeweilige Feature-Unterstuetzung der Browser:


Gruss Jost

Textsatz mit LaTeX
Universität/Hochschule 
Thema eröffnet von: xiao_shi_tou_
Aux Datei verschwunden  
Beitrag No.10 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2019-11-20
TheBear
 

Nur als Ergänzung, hilft dir bei deinem aktuellen Problem nicht:

Überprüf mal deine Festplatten (SMART), eventuell sind die langsam an Ihrem Lebensende angekommen und fallen demnächst ganz aus...

Sonstiges
Universität/Hochschule 
Thema eröffnet von: Lucky_7
Git - Verschlüsselung von commits  
Beitrag No.1 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2019-09-26
TheBear
 

Hi Lucky,

die ersten beiden Kommandos dienen tatsächlich dazu, dass deine Commits den korrekten Namen und die korrekte Mailadresse enthalten.

Die zweite Zeile dient dazu, das SSL-Zertifikat dieser Seite:   den Root-Zertifikaten deines Rechners hinzuzufügen. Das ist an sich keine gute Idee, und sollte eigentlich auch nicht nötig sein. Ist es zumindestens bei mir auch nicht, auf XUbuntu 19.04.

Das Zertifikat wird benutzt, um bei Verbindungen zum Gitlab-Server sicherzustellen, dass es sich wirklich um den Gitlab-Server handelt. Die Verbindung zu diesem Server wird anscheinend per SSL/TLS aufgebaut, d.h. du kannst allgemein im Zusammenhang mit SSL/TLS nachlesen, wofür das Zertifikat benötigt wird, und warum es meist keine gute Idee ist, so ein Kommando wie angegeben auszuführen.

Das letzte Kommando ist ein Fallback für den Fall, dass das vorherige nicht funktioniert hat (weil du keine sudo-Berechtigung auf deinem Rechner hast, d.h. nicht auf /etc/ssl zugreifen darfst). Es schaltet die Verifizierung des Gegenübers bei SSL/TLS-Verbindungen durch git vollständig ab (für alle repositories, auch wenn die auf ganz anderen Servern liegen), und ist daher überhaupt keine gute Idee. Kann man mit
Bash
git config --global http.sslverify true

wieder rückgängig machen.

Ich hoffe, das hilft fürs Erste?

Programmieren
  
Thema eröffnet von: Goswin
javascript: Objekte mit vielen einfachen Eigenschaften  
Beitrag No.1 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2018-11-28
TheBear
J

Moin goswin,

Prinzipiell passt das so. In ECMA6 werden aber auch einige neue Konstrukte definiert, die besser geeignet wären - in deinem Fall "Map":



Die Browserkompatibilität (Tabelle unten in der verlinkten Referenz) könnte dir da aber einen Strich durch die Rechung machen.

Gruß Jost

Programmieren
Beruf 
Thema eröffnet von: knaggix
PHP: Escape character  
Beitrag No.8 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2017-05-21
TheBear
J

Moin!

Auch in single-quoted strings muss der Backslash ab und an verdoppelt werden, wenn er nämlich vor einem ' ausgeben werden soll. Sonst wird '\'' als ' ausgegeben, nicht als das gewünschte \'. \' ist aber m.W. die einzige Escapesequenz in single-quoted strings.

Für längere Texte (Formeln könnten darunterfallen) sind nowdocs evtl. hilfreich.

Gruß TheBear

Sonstiges
  
Thema eröffnet von: PrinzessinEinhorn
Schlechte Internetverbindung  
Beitrag No.14 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2017-04-11
TheBear
 

Noch eine Idee: Klemmen vielleicht zwei Router am Netzwerk? Z.B. einer als Switch genutzt und einer für die Internetverbindung. Wenn beide einen DHCP-Server drinne haben, kann das das lokale Netzwerk unbenutzbar machen. Ich komme darauf, weil du von "fester IP" schreibst.

Falls das das Problem ist, log dich in einen der Router ein (den, der nicht am Internet hängt) und schalte dort den DHCP-Server ab.

Algorithmen / Datenstrukturen
  
Thema eröffnet von: Uaaah
Punktewolke  
Beitrag No.3 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-10-23
TheBear
J

Ich glaub der passende Suchbegriff für dein Problem ist "Clustering". Es gibt schon so einiges zu dem Thema, aber ich habe keinen Überblick darüber.

Sonstiges
Universität/Hochschule 
Thema eröffnet von: Mathesportler
Bootloader: Grub - Windows 10  
Beitrag No.4 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-10-23
TheBear
 

Also bei mir laufen Win 10 und XUbuntu wunderbar zusammen in einem Dual-Boot-System. Ich musste GRUB noch nie anfassen deswegen. Unter Ubuntu wird auch ein Reparatur/Setup-Tool für GRUBmitgeliefert, der Befehl ist
bash
grub-install

Die man-page und das Internetz liefern weitere Informationen.

Sonstiges
  
Thema eröffnet von: Ex_Senior
Javascript auf Webseiten  
Beitrag No.5 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-10-18
TheBear
J

RequestPolicy macht glaub ich schon etwas mehr - es blockiert nicht nur Scripte, sondern auch Bilder, CSS, Schriften, und alles andere was so eine Seite von anderen Domains nachlädt.

Grade so Schriften von Google und ähnlichen halte ich auch für Datenschutztechnisch bedenklich.

Sonstiges
  
Thema eröffnet von: Ex_Senior
Javascript auf Webseiten  
Beitrag No.3 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-10-18
TheBear
J

Da gibts mehrere Gründe:

1. Viele Seiten nutzen neben eigenen Skripten auch Bibliotheken, z.B. jQuery, und laden die von Content Delivery Networks (CDNs). Solche CDNs sind z.B. ajax.googleapis.com, jQuery.com, bootstrapcdn.com.

Das machen die Seiten aus unterschiedlichen Gründen - zum einen bringt es möglicherweise Performance (wenn viele Seiten das selbe vom selben CDN laden, ists mit recht hoher Wahrscheinlichkeit schon im Browsercache), zum anderen sind Entwickler auch gerne mal faul und wollen sich nicht drum kümmern, den Kram selbst mit auszuliefern.

Selbes gilt z.B. für Schriften.

2. Werbenetzwerke haben fast immer Javascript mit drin, um besser feststellen zu können, welche Werbung geladen werden soll und um Nutzerprofile anlegen. Viele Dinge die dafür nötig sind lassen sich mit nur oder zumindestens leichter mit Javascript rauskriegen.

Da die Werbung meist nicht vom Webseitenanbieter selbst kommt, sondern von einem Werbenetzwerk, und dieses Werbenetzwerk seine Skripte gerne schnell anpassen können will, werden die halt von da nachgeladen.

3. Drittanbieter-Software wie Google Maps, Google Analytics usw. wird von vom Drittanbieter nachgeladen, damit man nicht bei jeder Änderung der Drittanbieter-Software eine neue Version jeder benutzenden Seite online stellen muss.

Performance- und Datenschutztechnisch ist das alles natürlich äusserst bedenklich. Ich benutze z.B. das Firefox-Addon "RequestPolicy
Continued", das blockiert erstmal alles was von anderen Domains kommt... es ist unglaublich, wie viel schneller dadurch viele Seiten werden. Wenn CDNs verwendet werden, machts aber auch oft die Seiten kaputt, dann muss man leider recht viel wissen, um die entsprechenden Whitelist-Einträge (temporär) hinzuzufügen.

Sonstiges
Universität/Hochschule 
Thema eröffnet von: Natriumarm
ssh einrichten: Probleme mit private key  
Beitrag No.6 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-30
TheBear
 

2016-09-29 22:31 - Natriumarm in Beitrag No. 5 schreibt:
Ich habe mit
Bash
scp ~/.ssh/id_rsa.pub me@zielhost

versucht, den public key auf den server zu bringen. Das scheint wohl auch geklappt zu haben.

Der Key ist durch den Befehl in der Datei ~/id_rsa.pub auf dem Server gelandet, das ist die falsche Datei. Der Key muss (normalerweise) in der Datei ~/.ssh/authorized_keys landen.

Das kannst du hiermit machen:
Bash
scp ~/.ssh/id_rsa.pub me@zielhost:~/.ssh/authorized_keys

Dadurch wird aber die Datei auf dem Server überschrieben, was wahrscheinlich nicht weiter schlimm ist (du kannst dich ja mit Passwort auf dem Server einloggen, oder?! Wenn nicht, führ das nicht aus, sonst schließt du dich evtl. aus). Besser wäre wohl das hier:
Bash
cat ~/.ssh/id_rsa.pub | ssh me@zielhost "cat >> ~/.ssh/authorized_keys"

Das hängt deinen key an die authorized_keys-Datei auf dem Server an. Die Alternative ist das oben erwähnte
Bash
ssh-copy-id me@zielhost

Das kümmert sich um das ganze Anhängen, nicht Überschreiben, key nicht doppelt auf den Server tun und so weiter.

Sonstiges
Universität/Hochschule 
Thema eröffnet von: Natriumarm
ssh einrichten: Probleme mit private key  
Beitrag No.3 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-29
TheBear
 

Irgendwie muss dein public key auf den Server gekommen sein, damit du dich dort einloggen kannst. Vielleicht hat ihn der Admin da schon eingetragen, nachdem du ihm den key per Mail oder so geschickt hast?

Evtl. ists auch ein Problem in der Zeile hier:
Bash
ssh -i .ssh/id_rsa me@zielhost

Da fehlt "~/" vor dem ".ssh". Korrekt ist
Bash
ssh -i ~/.ssh/id_rsa me@zielhost

Hab gedacht das wäre nur ein Tippfehler beim Posten, aber vielleicht ists auch das?




Sonstiges
Universität/Hochschule 
Thema eröffnet von: Natriumarm
ssh einrichten: Probleme mit private key  
Beitrag No.1 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-29
TheBear
 

Die Zeile hier:
Bash
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

Kopiert deinen public key in die authorized_keys-Datei auf *deinem* Rechner. Damit hast du dir die Erlaubnis gegeben, dich per SSH mit public-key-authentification auf deinem eigenen Rechner einzuloggen.

Dein public key muss in die authorized_keys-Datei auf dem Server geschrieben werden. Normalerweise gibts dafür ein Tool, ssh-copy-id. Benutzung:
Bash
ssh-copy-id -i ~/.ssh/id_rsa.pub me@zielhost

Beim Ausführen wird das Passwort für deinen Account auf dem Server abgefragt. Den Teil "-i ~/.ssh/id_rsa.pub" kann man normalerweise auch weglassen (wenn nicht angegeben, wird ~/.ssh/id_rsa.pub verwendet).

Danach müsstest du dich mit
Bash
ssh me@zielhost

auf dem Server einloggen können, ohne Passwortabfrage.


Programmieren
  
Thema eröffnet von: FriedrichLaher
Javascript: Vorteil von createTextNode  
Beitrag No.1 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-05
TheBear
J

Sicherheit. Wenn a[0] nicht vertrauenswürdig ist (kommt von einem anderen Server, wurde irgendwann mal vom Nutzer eingegeben), könnten dort z.B. Scripte drinstehen, die irgendwas unschönes tun. Z.B. Session-Cookies auslesen.

Daher immer createTextNode verwenden, und nur wenn absolut nötig innerHtml verwenden.

Sonstiges
  
Thema eröffnet von: FriedrichLaher
HTML: style,negativer margin-bottom  
Beitrag No.1 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-03
TheBear
 

Wie schaut das HTML drum herum aus? Und die Styles dazu? Am besten als irgendein fiddle (codepen.io, jsfiddle.net oder so).

Ist so schwer zu sagen was das Problem ist, ich würde vermuten, dass bei 4px/0.25em eine Zeilenhöhe überschritten wird oder sowas.

Bug- und Request-Tracker
  
Thema eröffnet von: Bernhard
Email zum Newsletter mehrmals erhalten  
Beitrag No.8 im Thread
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag2016-09-01
TheBear
J

8
 

Sie haben sehr viele Suchergebnisse
Bitte verfeinern Sie die Suchkriterien

[Die ersten 20 Suchergebnisse wurden ausgegeben]
Link auf dieses Suchergebnis hier
(noch mehr als 20 weitere Suchergebnisse)

-> [Suche im Forum fortsetzen]
 
 

 
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2020 by Matroids Matheplanet
This web site was originally made with PHP-Nuke, a former web portal system written in PHP that seems no longer to be maintained nor supported. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die Nutzungsbedingungen, die Distanzierung, die Datenschutzerklärung und das Impressum.
[Seitenanfang]

used time 0.0621