waar mensen veel geld voor betalen

August 6th, 2010 § Leave a Comment

Je wil dat je kinderen, indien mogelijk, een goede studie krijgen. Je laat ze dus aan een vooraanstaande uni in de usa studeren waarbij ze een studie krijgen die vooral technisch ‘oriented’ is. Het probleem is dat de studies op dat gebied niet altijd betekenen dat je er slimmer van wordt:

Mit heeft niet alleen op die hostname een probleem, er zijn nog meer lekken.

php header functie en IE

June 11th, 2010 § Leave a Comment

Deze week kwam ik een raar probleem tegen. Voor een klant waar ik al een paar jaar geleden een oplossing voor had geschreven moest ik dat overzetten op een nieuwe server. Nieuwe versie van Debian erop, laatste versie van PHP via apt-get, werkt allemaal prima. Echter…. in bepaalde gevallen blijkt de header functie niet goed te werken, ook niet zoals verwacht in de omschrijvingen zoals je die op php.net en bugs.php.net kunt terug vinden.

Wat is het geval. Tegenwoordig lijkt het nodig te zijn dat je bij een location header ook een replace en http_response_code moet meegeven. Officieel is het nog steeds een optie maar het wordt wel aangeraden.

void header ( string $string [, bool $replace = true [, int $http_response_code ]] )

Bij alle moderne browsers werkt een location header prima in mijn specifieke geval (met een aantal parameters). Het is getest in Firefox, Opera, Safari en nog wat exoten. IE 8 wil er echter niet mee werken. Op de remote server komen er dubbele aanvragen binnen waardoor de werking die we in gedachten hadden blijkbaar gewoon niet kan (dat laatste is wellicht niet helemaal de schuld van de http specs).

De oplossing was eigenlijk heel simpel. Een refresh header printen in html formaat. Nu maar hopen dat ze het bij php oplossen want een mix van php en html is erg vies.

tcms, basis werkt nu op postgresql

February 11th, 2010 § Leave a Comment

Zo, na een paar avondjes klussen lijkt het erop dat de basis van tcms nu werkt op postgres. Ik kan inloggen, pagina’s aanmaken, updaten, menu items toevoegen, automatisch boomstructuren parsen. Tijd voor de planning naar versie 0.1. Nog best wel een hoop te doen maar het lijkt de goede kant op te gaan.

Het overzetten van MySQL naar Postgres vergde nog best wel wat uitdagingen maar als je eenmaal bezig bent dan kom je er achter dat het best mee valt. Met MySQL ging ik vooral de OO manier van werken gebruiken en ik merk nu dat de PHP functies voor PostgreSQL daar niet echt op inspringen. Neem alleen al het feit dat ik het niet zomaar voor elkaar krijg om exceptions op te pakken als er dingen mis gaan. Ook is het best wennen om van een systeem af te stappen waarbij je veel met error numbers kon werken. PostgreSQL vraagt daar toch een beetje een andere aanpak.

De volgende lijst moet nog gedaan worden voor ik versie 0.1 uitbreng

  • Algemene security in alle interfaces.
  • Aanmaken/bewerken gebruikers en rechten op groepen geven.
  • Uploaden en linken van afbeeldingen.
  • Macro systeem waarbij ik zoiets als de WebGUI oplossing wil gebruiken.
  • Opschonen van overbodige code.
  • Css interface waabij ik vooral niet de WebGUI oplossing wil gebruiken.

tcms, connecting to postgres ….

January 27th, 2010 § Leave a Comment

This evening I rewrote the first class (database connection and query handling) to use postgreSQL. It seems to work fine….

$this->conn = pg_connect(
"host='" . $this->tcmshost .
"' port='" . $this->tcmsport .
"' dbname= '" . $this->tcmsdb .
"' user= '" . $this->tcmsuser .
"' password= '" . $this->tcmspwd ."' ");

The next step will be to change the login code, menu code (I love to see how pg will parse my treebuilder with only one query) etc…

Tcms

November 12th, 2009 § Leave a Comment

Currently I am looking into ajax to fetch data for an admin interface. This also should involve some level of security since you can’t identify who is viewing the data once a request is made. The only sure thing is that a remote address is making the request.

There are a number of things I can think of to secure this.

  1. Add a hashed security code that will somehow identify the user within a php session.
  2. Make sure the user is logged in with at least a basic authentication in apache or other webservers.
  3. Give admin users a client certificate that will grant them rights to the admin interface

Since I will have all kinds of levels option 3 might be a problem. If it would only involve the admin user him/herself I would go for the option.

Option 2 is not something I would like to consider but I still keep it in mind. I would be able to identify users in a more or less tested way.

Option 1 is the option I am considering. The real question is, what would I test against. Users might be behind a proxy, this is all common knowledge. But what if someone is natted behind a proxy and the person is on a shared ip together with other users….

The real option would be to find a combination of client side identity that is shared with server side identity. I must think about some way of getting the cms to identify public keys that users must somehow upload, without sharing it with all the www-data users that is…

/me ponders……

 

Sektion Eins PHP Security poster

November 6th, 2009 § Leave a Comment

Today I received the Sektion Eins security poster. It contains an overview of commands and their risks. Something a lot of php coders should use i.m.h.o. It also contains a lot of configuration entries and a list of insecure commands.

Where Am I?

You are currently browsing the php category at Zomaar ... maar dan anders.

Follow

Get every new post delivered to your Inbox.