Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe noem je dit?

27-08-2012, 14:27 door blackyy, 12 reacties
Hallo,

ik heb wel eens gehoord dat als je in een login 50.00000 tekens inzet de website cracht.
Klopt dit? en hoe heet deze aanval?
Reacties (12)
27-08-2012, 14:34 door DanielG
1) nee
2) denial of service
27-08-2012, 14:43 door blackyy
Door DanielG: 1) nee
2) denial of service
Wat bedoel je met nee?
27-08-2012, 15:25 door Anoniem
"Wat bedoel je met nee?"

Nee, het klopt niet. Hoe kom je op de stelling dat een website crashed bij 50.00000 tekens in een inlog veld ?
27-08-2012, 15:37 door DanielG
ik heb wel eens gehoord dat als je in een login 50.00000 tekens inzet de website cracht. Klopt dit? ) nee
en hoe heet deze aanval?) denial of service
27-08-2012, 15:43 door [Account Verwijderd]
[Verwijderd]
27-08-2012, 15:53 door DanielG
"Pas als de website door het misbruiken van de fout onbereikbaar wordt spreek je pas van een denial of service."

ligt aan je definitie van "de website cracht", ik heb dat als onbereikbaar maken van de website. Bufferoverflows in de login van websites is onwaarschijnlijk maar niet onmogelijk. Gezien het nivo van de vraag en andere vragen van blackyy maakt het toch niets uit.
27-08-2012, 16:04 door Anoniem
Ik denk eerder dat je een 414 Request URI too long (Apache stijl) foutmelding krijgt.
Ook kan een slecht ontworpen app crashen als je b.v. in een veld tekst invult die langer is dan het betreffende veld in de database. Maar dat is dan bij data opslaan en niet bij inloggen. Normaliter hoort dat al afgevangen te zijn door input-validatie en sowieso error-handling
27-08-2012, 16:18 door Anoniem
Vroeger zetten we zo'n punt altijd tussen de duizendtallen... wat is in hemelsnaam 50.00000 ??
27-08-2012, 16:30 door [Account Verwijderd]
[Verwijderd]
27-08-2012, 16:52 door [Account Verwijderd]
[Verwijderd]
28-08-2012, 09:14 door DanielG
Door Hugo:
Door DanielG:
ligt aan je definitie van "de website cracht"
Precies, en daarom is het goed om het even toe te lichten. Wat ik ook deed. Jouw korte 'nee' en foutieve 'denial of service' maakte het namelijk niet beter voor de vraagsteller.

Gezien het nivo van de vraag en andere vragen van blackyy maakt het toch niets uit.
Ik vind het nogal schofterig om dit zo te zeggen. En als blackyy dan zogenaamd 'onder jouw nivo' zit (wat je kan betwijfelen gezien je foutieve antwoord) en het toch niets uitmaakt, waarom reageer je er dan op?!?


meh
28-08-2012, 11:46 door Anoniem
Een mooie oplossing is natuurlijk de maxlength waarde hetzelfde zetten als de waarde van de lengte van de kolom in je database ( mocht deze er zijn natuurlijk ). De vuistregel blijft nog altijd: Altijd controleren of de input is wat je van de input verwacht.

Een gebruikersnaam zal nooit langer zijn dan 200 tekens bijvoorbeeld.
Een SEO description tag zal nooit langer zijn dan 180 tekens.
etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.