Innovaties

In een wereldvoedselmarkt die dynamischer is dan ooit, zitten ook de aardappelkwekers niet stil. Onderzoek naar nieuwe aardappelrassen die resistenter zijn tegen ziektes vindt plaats op grote schaal. Gesponsord door het ministerie van Landbouw worden in Nederland regelmatig nieuwe aardappelrassen gekweekt. Onder andere Schaap Holland in Biddinghuizen en C. Meijer B.V. Kruiningen redden misschien wel de toekomst van de aardappel. Nou klinkt dit een beetje als een propagandapraatje en natuurlijk heb ik er ook mijn vraagtekens bij, maar een aardappel die de aartsvijand van Frietopia kan verslaan verdient altijd mijn goedkeuring.
Overigens maken ze het in Ierland wel heel erg bont en blauwe aardappelen verschijnen daar op de markt. Ben benieuwd hoe die frieten er dan uit gaan zien. Ook blauw? Dat aardappelen zo populair blijven is volledig terecht, want aardappelen blijken namelijk het veiligste voedsel van de gehele Britse markt. Als het in Groot-Brittanië waar is, is het hier ook waar, dus iedereen die zich zorgen maakt over voedselveiligheid: meer aardappelen eten!

We kunnen het ook nog even hebben over innovaties op kleine schaal. Frietopia versie vijf staat nu een kleine week online en de site werkt sneller en strakker dan ooit. Helaas zitten er nog een paar kleine foutjes in, maar achter de schermen zijn we hard aan het werken om die er uit te halen. Als je merkt dat de site niet helemaal goed werkt, meld dat dan alsjeblieft in het forum zodat wij er snel iets aan kunnen doen.

Reageren

Kerux

Wie? ik of outis? :p<br />
Beiden trouwens nee (respectievelijk thuis en ergens in een buitenland ;)) 25 maart 2008 17:30

Soyweiser

Goed beveiligd is het niet. Toevallig @ uni nog? 25 maart 2008 17:26

Kerux

Ja Kafir/Kerux een letter hetzelfde, is ook lastig ;)<br />
Hrm, ik ga klagen bij outis, heeft wel allerlei leuke functionaliteit geschreven, maar beveiligen, ho maar ;) 25 maart 2008 17:25

Soyweiser

poe, html werkt ook al op de wiki pagina. 25 maart 2008 17:06

Soyweiser

Nee, het was kafir, ik haal kafir en kerux altijd door elkaar. 25 maart 2008 16:57

Kerux

Ah via het forum, natuurlijk. Dat werkt als het goed is inderdaad. Niet dat veel mensen dat zouden bedenken, maar ok :)<br />
Ik heb overigens geen mail gezien, maar dat terzijde. 25 maart 2008 16:55

Soyweiser

vroeg me af of de emailreminder de user.update functie aanriep. Daarom had je perongeluk een mail gekregen. 25 maart 2008 16:22

Soyweiser

http://www.frietopia.nl/forum/index.php?action=reminder tadaa! (En het werkt ook nog). 25 maart 2008 16:18

Kerux

Ben ik toch benieuwd waar je dat herinneringssysteem gevonden hebt... 25 maart 2008 16:09

Soyweiser

Dat was iig mijn fout, kwam er later pas achter dat het niet overal goed werkte. 25 maart 2008 16:00

Soyweiser

Wel, maar dat werkt niet goed. herinneringsysteem zegt dat mijn username niet bekend is, nieuw leden systeem zegt dat mijn username al in gebruik is. 25 maart 2008 15:59

Kerux

wachtwoordherinneringssysteem? dat hadden we toch juist nog niet? 25 maart 2008 15:57

Soyweiser

Ik probeerde iets stoms met het wachtwoordherinneringssysteem. 25 maart 2008 15:45

Soyweiser

Hij wordt iig alleen bij de guest user niet extra toegevoegd. (Je hebt mail trouwens, sorry). 25 maart 2008 15:41

Soyweiser

Aha, ik denk dat die er voor zorgd dat gewone gebruikers meer rechten hebben dan guest users. 25 maart 2008 15:40

Kerux

Geen idee, outis heeft het geschreven, zou ik moeten uitzoeken wat er mee is :) 25 maart 2008 15:38

Soyweiser

Wat is er zo speciaal aan usernr 65535?? Die heeft extra rechten? 25 maart 2008 15:26

Soyweiser

Ik zie dat je het veranderd hebt. Braaf. 25 maart 2008 15:25

Kerux

Brr, het leek allemaal al best redelijk afgevangen, valt dat even tegen. Is ook net alsof je over mn schouder meekijkt wat ik verander (die htmlentities) :/ 25 maart 2008 15:24

Soyweiser

Ik zou ook de htmlentities uit de rnum halen als ik jou was. 25 maart 2008 15:20

Soyweiser

Aha html is al afgevangen. Goed zo :D (Maak dan ook iets die de nickname die je hier invuld ook ff in het koekie zet. 25 maart 2008 15:10

Soyweiser

Als je kijkt naar de query die gebruikt wordt om een reactie toe te voegen. (deze: "INSERT INTO blogreactie (rNick, rText, rDate, bID) VALUES ('$rnick', '$rtext', NOW(), $rnum)" ) zijn de waardes rnick en rtext wel geescaped maar rnum niet, hierdoor kun je op de data in blogreactie een aanval uitvoeren. (Door sql injectie op het rnum veld). Als voorbeeld zou ik een reactie midden tussen de andere reacties kunnen zetten, omdat ik dan in het rnum veld een andere reeks data kan toevoegen. Zie ook: http://www.phphulp.nl/php/tutorials/3/244/452/ 25 maart 2008 15:09

Soyweiser

Is vrij simpel. Maar als ik het vertel schrik je je kapot. <a href="http://youtube.com/watch?v=a1Y73sPHKxw">ta ta taaaaa!</a> (Nee dit is het nog niet). Volgende post. 25 maart 2008 15:06

Kerux

huh? wat gaat er nu weer fout? ik volg het niet? 25 maart 2008 15:04

Soyweiser

Tja, als dat dus beveiligd was geweest had ik het kunnen omzeilen :). Maar dat was het niet. 25 maart 2008 14:59

Soyweiser

Ja, maar dat kan ik natuurlijk ook hè. Oude hacker dat je daar bent! 25 maart 2008 14:58

Soyweiser

Ow, staat die ook in het menu. Ik weet even niet meer waar ik hem tegenkwam. Ik zoek even. Op de lid worden pagina staat die iig verkeerd. 25 maart 2008 14:48

Kerux

Overigens zou de gebruikersovereenkomst gewoon moeten werken in het menu? Zou kunnen dat er ergens nog een foute link staat hoor. We zullen ook een 'wachtwoord-vergaten'-functie maken. 25 maart 2008 14:45

Kafir

stiekem soy ff iets testen. 25 maart 2008 14:41

Kerux

Bedankt voor de bugreps, wordt het weer wat veiliger van. 25 maart 2008 14:34

Soyweiser

Nou, goed ben ik nou ook weer niet. Maar ik weet een paar trucjes. Volgens mij vangen jullie ook best veel af, maar nog niet alles. 25 maart 2008 14:32

Kerux

nee geen uitdaging, je bent vast te goed in dit soort dingen, maar het is niet alsof we helemaal niks afvangen. 25 maart 2008 14:29

Soyweiser

Is dat een uitdaging? Ik wil best proberen de database down te krijgen. Vrees dat het me lukt. 25 maart 2008 14:14

Kerux

Ahem, juist ja. Anonieme reacties wilden we hier juist wel toestaan, met inderdaad helaas wat nare spam gevolgen.

de verwerking is inderdaad niet helemaal netjes, ga ik even wat aan doen (sql naar de database wordt wel gestript, dus je drop db zou niet lukken). 25 maart 2008 14:10

Kafir

Spam verwijderd. Security-lekken zien er naar uit.
Frietopia verhoogt terreur-alarm naar status rood. 25 maart 2008 12:37

Soyweiser

http://www.frietopia.nl/index.php?page=3333 geeft sql terug op de error page. Wil je niet. Kan namelijk aanvallers meer informatie geven om aan te vallen.

En de zoek functie op de wiki pagina accepteerd <br> als invoer, dus waarschijnlijk ook javascript. (Is op zich geen groot probleem maar kan mogelijk voor een cross site scripting aanval gebruikt worden. (ps: cross site scripting wordt afgekort als xss (omdat een ander web iets al css heet)) Zie ook <a href="http://en.wikipedia.org/wiki/Cross-site_scripting">De wikipagina over XSS (dit is een link)</a>. 25 maart 2008 11:55

Soyweiser

(En dit bericht zou een stukje javascript kunnen bevatten wat je wachtwoord steelt van frietopia.nl (of de cookie of wat anders) en dat naar mij steelt). Ik hoop dat het nu duidelijk is dat er nog een kleine security bug in het nieuwe versie 5 van frietopia zit.  25 maart 2008 11:42

Soyweiser

Ik hoop dat jullie de sql die de database in gaat wel strippen van vreemde dingen? Anders zou een of andere eikel nog een drop database sql injectie kunnen proberen. Dat ga ik bij deze maar niet testen ;). Omdat een database droppen wat meer problemen geeft dan een wat vervelende stukjes javascript in je content. 25 maart 2008 11:40

Soyweiser

En omdat ik een enorme eikel ben, heb ik jullie blogarchier van januari gesloopt. En wel door een reactie op het topic van de nieuwe snellere server. :P 25 maart 2008 11:38

Soyweiser

Kijk, dat is dus slecht, met behulp van wat kreatieve javascript en andere enge dingen zou ik nu mensen die op jullie site komen kunnen infecteren met allerlei enge dingen, of rare dingen met de site kunnen doen. 25 maart 2008 11:36

Soyweiser

<form action="_self">
<input type="button" value="kanariepiet?!" onclick="window.open('www.kanariepiet.com';, 'kanariepiet'); return false" />
</form> 25 maart 2008 11:34

Soyweiser

En dat werkt. Owjeej... zou dan ook html injectie werken? 25 maart 2008 11:31

Soyweiser

test.
<br>
test.
<br>
zelfde test maar nu met br tags. 25 maart 2008 11:31

Soyweiser

test

test

en als er geen lege regels tussen mijn test opmerkingen zitten is dat ook een foutje, omdat ik in het (te kleine) tekstinvulveld deze zeker had neergezet. 25 maart 2008 11:30

Soyweiser

Ik heb een foutje ontdekt! Zowel een technische als procedurele fout! Ik kan mijn password niet resetten, en omdat ik mijn password niet weet kan ik niet inloggen op het forum.

Ik zie ook dat de spammerts het url frietopia.nl gevonden hebben. Zie hierboven (en eigenlijk, overal). Anonieme comments niet toestaan zou dit probleem moeten oplossen, maar dat zou mijn probleem weer groter maken. Of natuurlijk, zou het probleem wat ik ben oplossen, omdat je gewoon niets meer van mijn klachten hoort ;).

Natuurlijk kan ik een nieuw account maken, maar ik weet niet of dat verboden is omdat de http://www.frietopia.nl/index.php?page=pgOvereenkomst pagina stuk is. En ik zou natuurlijk niet iets willen doen wat verboden is. 25 maart 2008 11:29

teleiotes

Dat is wel erg gaaf. :) 18 maart 2008 21:24

Kerux

Dat is waarschijnlijk wel te doen, maar moet even kijken hoe ingewikkeld dat is en of het geheel er niet te langzaam van wordt. Maar ik zal er eens naar kijken. 18 maart 2008 12:58

Kafir

Het lijkt ook goed te werken. Enige jammere is dat je niet uit kan zoomen en dan ook symbooltjes ziet waar nog meer Frietopia-gerecenseerde tenten staan. Weet je of dat te doen is en zo ja, makkelijk of niet? 18 maart 2008 09:32

Kerux

Over innovaties op kleine schaal gesproken: we hebben Google-maps integratie! 17 maart 2008 22:12