AndroidHealthClinic

phpBB - Forum maken

D

Dennisik

Monstrous Giant
R.I.P.
10.000 berichten
Lid sinds
3 jun 2008
Berichten
12.887
Waardering
1.623
Beste animals!

Ik ben bezig om een forum te maken voor mijn vader. Betreft een vereniging met hetzelfde beroep (Financiële kant) ze willen graag een forum voor hun site.

Nu heb ik binnen 10 sec phpBB draaiend gekregen op me computer
(Wampserver 2.1) Forum draait nu, enkel even wat tekst aanpassen.

Nu heb ik wat vragen hier over, ik zat al beetje te googlen en hieruit kwam dat dit de beste keuze was (Vooral als ik kijk naar prijs/kwaliteit, het is gratis)

Nu vroeg ik me af, hoe veilig is zo'n standaard forum?
Passwords worden opgeslagen in database met MD5 encryptie, kan je dit ook nog veranderen naar andere hash standaards? Gezien MD5 al beetje achterhaald is en met een BFA achterhaald kan worden.

Kans is natuurlijk heel klein dat ze zullen worden gehacked oid, maar het liefst heb ik dit forum wel zo veilig mogelijk.

Andere vraag, is hiervoor ook een nederlandse template voor te krijgen?
Scheelt heel veel aanpassen. - Al gevonden!

Mvg, Dennis
Klik om meer te lezen...
 
Laatst bewerkt:
  • Topic Starter Topic Starter
  • #2
Heb de Taal packages wel gedownload, maar krijg ze telkens niet goed. Ook de images packages krijg ik niet goed.

Ik kan hem wel selecteren in keuze menu van styles, maar hij verandert niet?

Edit: Taal is opgelost, gewoon de 3.08 NL versie geïnstalleerd.
 
Laatst bewerkt:
Zou je dit niet beter vragen op het phpBB community forum?
 
  • Topic Starter Topic Starter
  • #4
Big T zei:
Zou je dit niet beter vragen op het phpBB community forum?
Klik om te vergroten...
Klik om te verkleinen...

Had daar al bijna een topic gemaakt totdat ik de NL versie zag, dat heeft hem opgelost.

Maar aangezien hier meer ICT'ers zaten vroeg ik me af hoe veilig het is, denk dat ze hier een objectievere mening zullen geven dan op dat forum. (Ga ik vanuit)

Zal hem iig daar ook even posten!
 
Volgens mij zitten hier voornamelijk veel sys admins, phpBB en andere webzaken zijn nou niet bepaald hun specialiteit :).
 
is het een gratis forum dat je opbouwd? via welke host? als het een gratis is kan je niet veel doen mits je de ftp gegevens niet hebt.
 
  • Topic Starter Topic Starter
  • #8
Is gewoon gratis forum pakket, heeft niks met host te maken.

Ik vind het anders aardig uitgebreid, hangt natuurlijk ook af van wat de eisen van de gebruiker zijn. Daar moet ik deze week even over vergaderen.
 
Is veilig genoeg. Je hebt ook nog SMF. Ies graties.
 
is OK, zolang je maar de security updates bijhoudt. doe je dat niet dan ben je nadat een exploit bekend wordt binnen een aantal uur de sjaak.

---------- Post added ma 4 jul 2011 at 19:38 ----------

md5 is trouwens sterk zat zolang je maar geen kritieke data moet versleutelen
 
  • Topic Starter Topic Starter
  • #11
supermario zei:
Is veilig genoeg. Je hebt ook nog SMF. Ies graties.
Klik om te vergroten...
Klik om te verkleinen...

corpaul zei:
is OK, zolang je maar de security updates bijhoudt. doe je dat niet dan ben je nadat een exploit bekend wordt binnen een aantal uur de sjaak.
Klik om te vergroten...
Klik om te verkleinen...

Ah oke nice! Thanks heren!

Ik zal SMF ook eens proberen.

Net even 2 sec over geprobeerd. 2 kleine dingen.
1ste probleem was dat DBS gekoppeld moest worden aan DBS van hun. Is niet moeilijk, enkel even de code veranderen.
2de probleem. Daar ben ik niet echt heel bekend mee. Is dat ze nu een site hebben en daarin willen ze het forum, dus eigenlijk een frame ervan? Of container in css?
Is dit mogelijk?

Kwa webdesign ben ik niet echt een expert, dus daar moet ik mij nog even in verdiepen.

---------- Post added ma 4 jul 2011 at 19:41 ----------
corpaul zei:
md5 is trouwens sterk zat zolang je maar geen kritieke data moet versleutelen
Klik om te vergroten...
Klik om te verkleinen...

Zijn alleen wachtwoorden die versleuteld worden. Data word niet versleuteld. Mocht dat wel zo zijn, word dat over de mail verstuurd mag ik hopen.

+ Ik denk dat enkel leden het forum de topics mogen zien, maar dat is wel in de instellingen van phpBB te vinden lijkt me.
 
Laatst bewerkt:
Ik heb zelf geen phpBB, maar ik heb het even gedownload en in functions.php is de hash functie als volgt:
Code: 
function phpbb_hash($password)
{
    $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';

    $random_state = unique_id();
    $random = '';
    $count = 6;

    if (($fh = @fopen('/dev/urandom', 'rb')))
    {
        $random = fread($fh, $count);
        fclose($fh);
    }

    if (strlen($random) < $count)
    {
        $random = '';

        for ($i = 0; $i < $count; $i += 16)
        {
            $random_state = md5(unique_id() . $random_state);
            $random .= pack('H*', md5($random_state));
        }
        $random = substr($random, 0, $count);
    }

    $hash = _hash_crypt_private($password, _hash_gensalt_private($random, $itoa64), $itoa64);

    if (strlen($hash) == 34)
    {
        return $hash;
    }

    return md5($password);
}
Werkt met een salt dus, zou geen probleem moeten zijn.

Wat de CSS/frame dingen betreft kan ik je niet helpen ben ik bang, ik krijg hoofdpijn van front end stuff.

Edit:
Er zullen trouwens ongetwijfeld plugins zijn om je forum op de site te integreren, tenminste dat is bij elk ander forum dat ik gebruikt heb wel zo. Zal bij phpBB niet anders zijn, moet je effe zoeken op hun site.
Frames gebruiken zou ik niet doen, dat is vrij web 1.0.
 
Laatst bewerkt:
+1 wat barrie zegt over salt en web 1.0
 
  • Topic Starter Topic Starter
  • #14
Thanks heren!

Voor die plugins ga ik morgen even zoeken, via opera kan je heel die site rippen dus dan kunnen we op de localhost even kloten ermee.

Betreft MD5 twijfelde ik, omdat ik er vorig kwartaal les in had gehad. En toen zeide ze dat het al deels achterhaald was. Maar voor wachtwoorden is het zo te zien nog goed genoeg.
 
is ook achterhaald, in de zin dat je het niet meer voor militaire doeleinden ofzo kan gebruiken. voor 'normale' doeleinden is het niet echt een probleem
 
Een enkele maal MD5 gebruiken is inderdaad wat achterhaald. Het idee van MD5 (en andere hashing algorithms) is dat het one-way is, oftewel niet terug te converteren naar de originele bron.

password -> MD5 = 5f4dcc3b5aa765d61d8327deb882cf99

Maar nu zie je misschien het probleem al... je weet de MD5 hash voor het woord password. Dus elke keer als je ziet dat iemands MD5 hash 5f4dcc3b5aa765d61d8327deb882cf99 is, heb je 99.9999...% zekerheid dat zjin wachtwoord password is.

Met rainbow tables kan een hacker miljoenen veelgebruikte wachtwoorden opslaan samen met de MD5 hash die hierbij hoort. Hoe zwakker een wachtwoord, hoe groter de kans dat deze te vinden is in de rainbow table. Dus hoewel het algoritme van MD5 zelf niet gekraakt is, kan een wachtwoord eventueel wel met behulp van een rainbow table achterhaald worden (alle mogelijke wachtwoorden proberen kan ook, maar is met de huidige processorsnelheden in de praktijk niet realistisch).

Een salt lost dit probleem op, door een random waarde toe te voegen aan de string voordat deze gehasht wordt.

password + !xq3rb& -> MD5 = 0cbb9690e6432114cd9aea1068b89717

Nu wordt in de praktijk meestal een random gegenereerde salt gebruikt (zie de phpbb functie van eerder) maar het principe komt op hetzelfde neer. Zelfs als een hacker de salt weet te bemachtigen, is zijn rainbow table nog steeds nutteloos, aangezien de salt hierin niet is meegenomen.
 
  • Topic Starter Topic Starter
  • #17
Ik weet wat MD5 is ;) Je studeert ook TI?

Thanks iig voor de uitleg!

Kwa wachtwoorden zit het wel goed, enkel op sommige paginas even een php check erin zetten of ze wel in de DBS staan anders terug directen naar de begin pagina
(Als men wilt dat niemand op het forum kan komen, enkel de leden)
 
Informatica :) Moet zeggen dat het meer documenteren dan programmeren is hier, maar als je zelf in je eigen tijd wat dingen uitzoekt dan is er nog best wat te leren.
 
stelletje nerds
:P
 
y1QLA.jpg
 
Inloggen of registreren om te reageren.
Terug
Naar boven