Probleem met plaatsen van foto's

jan28 · 15 jun 2003, 20:39

Hallo,

vandaag geconfronteerd met een vervelend probleem.
Ik maak een tumbnail pagina html opmaak met het prog Irfanvieuw, snel en eenvoudig. Ik maak als beginneling mijn webpagina met Frontpage 2000 en zet het op het web met Ws_ftp95. Tot op vandaag ging alles zoals ik dat wou.
Nu lukt het mij niet om een aantal foto's te openen als ik op de thumbnail klik. Het betreffen de laatste 23 foto's van een reeks. Ik heb al een paar keer alles verwijdert en opnieuw aangemaakt maar steeds dezelfde foto's willen niet te voorschijn komen, wel een pagina met 404.
Voor wie eens een kijkje wil nemen http://users.skynet.be/jan.vandermeeren ... 20foto.htm. Mail me even en ik geef jou een wachtwoord. niet dat die foto's geheim zijn of zo maar iedereen heeft er geen zaken mee.

voor iedereen met een beetje kennis is dat paswoord natuurlijk belachelijk simpel, maarja het is iets.

Iemand een idee??

jan

15 jun 2003, 20:44

Ik heb even je scoutsfoto's bekeken, en de laatsten staan er inderdaad niet op.
Maar als ik kijk naar de grootte van die foto's (allemaal meer dan 100 kb) dan zou ik zeggen dat je webruimte op is. Je krijgt standaard 50 MB toegewezen, kijk eens of je foto's niet meer innemen?

Vooral die van dat fietsweekend zijn heel zwaar (elk meer dan 700 kb).

//Edit: nog eens tegoei alles bekeken en ik ben er vrijwel zeker van dat je je 50 MB volledig hebt opgebruikt.
//Edit2: nu nog eens iets beter bekeken: die waarden onder de foto's zijn blijkbaar die van je bronbestanden en niet die van de foto's die online staan. Heb je nergens anders ruimtesnoepers? In elk geval denk ik dat je webruimte op is. Kijk eens in het statusvenster van WS_FTP welke melding die geeft?

jan28 · 15 jun 2003, 20:49

ja ik weet het dat die nog te zwaar zijn, ik moet dat allemaal nog een beetje aanpassen en leren en vooral opruimen. Een tijdje geleden beginnen bouwen aan een site en altijd maar bij maken maar de structuur is een beetje weg voor mij, volgens WSFTP heb ik 39.957.711 bytes gebruikt van 52.428.800. Dus vol is het nog niet denk ik.
jan

Sensei Zeon · 15 jun 2003, 20:50

kijk eens naar hoofdletters en niet, ik ga je direct mailen en dan ga ik oko eens kijken

jan28 · 15 jun 2003, 20:57

Opgelost, het waren inderdaad HOOFDLETTERS problemen, plots was beginletter van de fotonummer met een kleine letter geschreven, rarara maar het is in orde,
Bedankt mannen en nog een fijne zondag.

jan

15 jun 2003, 20:59

SeNsEi Ze0n schreef:kijk eens naar hoofdletters en niet, ik ga je direct mailen en dan ga ik oko eens kijken

Heb ik gezegd dat ik gemaild had?

Misschien je beveiliging eens nakijken, stelde niet veel voor

Ja, hoofdletters heb ik niet op gelet: met dat het de xxx laatste files waren dacht ik meteen aan plaatsgebrek.

jan28 · 15 jun 2003, 21:04

meon schreef:
SeNsEi Ze0n schreef:kijk eens naar hoofdletters en niet, ik ga je direct mailen en dan ga ik oko eens kijken
Heb ik gezegd dat ik gemaild had?
Misschien je beveiliging eens nakijken, stelde niet veel voor
Ja, hoofdletters heb ik niet op gelet: met dat het de xxx laatste files waren dacht ik meteen aan plaatsgebrek.

iVM de beveiliging ,ik weet het ,maar het is ook niet zo super belangrijk. Is er misschien een even eenvoudige maar iets betere manier.

CueBoy · 15 jun 2003, 21:18

jan28 schreef: voor iedereen met een beetje kennis is dat paswoord natuurlijk belachelijk simpel, maarja het is iets.

Vooral deze hint kietelde mijn curiositeit... en ja hoor, binnen de 2 minuten had ik de usernaam en het paswoord

Hoe je het anders zou kunnen doen ? Ik ben niet zo'n fantastische HTML-held, maar als je frames zou gebruiken, dan kun je het paswoordstukje "wegsteken" in de code van een frame...
ga "mijn oplossing" hier niet al te duidelijk uiteenzetten... zodat ik niemand nog meer hints geef

15 jun 2003, 21:18

jan28 schreef:iVM de beveiliging ,ik weet het ,maar het is ook niet zo super belangrijk. Is er misschien een even eenvoudige maar iets betere manier.

Kijk eens in deze topic:
http://www.userbase.be/forum/viewtopic. ... beveiligen
daar staan al wat tips.
Jouw probleem is vooral dat je gebruikersnaam en wachtwoord + volgende pagina gewoon in je bron zitten, dat is bijna net zo goed als geen wachtwoord gebruiken.
Heeft iemand zo meteen een beter script in het hoofd?
Ik heb laatst iets van een hacking-wedstrijd gezien van the matrix, ge moest webpagina's proberen omzeilen. Daar zaten al lastigere scriptjes tussen, maar ik ken de site niet meer

Iemand een idee?

CueBoy · 15 jun 2003, 21:27

meon schreef: Heeft iemand zo meteen een beter script in het hoofd?

Awel, hier ben ik weer met mijn frames

... voor zover ik weet wordt enkel de bron van het "hoofdframe" getoond, dus als het scriptje in een ander bestand (lees "frame") wordt opgenomen... *de rest kan je zelf wel invullen zeker ?

*

15 jun 2003, 21:40

Beeld > Bron (frameset bron)
Rechtermuis > Bron (bron pagina)

Daar gaat je systeem....

Trouwens, ik gebruikte Opera, daar kan je gewoon kiezen tussen welke bron je wilt zien

jan28 · 15 jun 2003, 21:51

Ik heb wel eens gelezen op http://www.leejoo.nl dat je een pagina kunt scrambelen (of zoiets), wat gebeurt er dan?

15 jun 2003, 21:57

Aha, ik heb daar je gebruikte script gevonden

Ik heb niet gevonden waar hij het over dat scrambelen heeft, maar ik vermoed dat het iets is als escaping:
Elk ascii-teken heeft zijn escape-tegenhanger: zo is de spatie %20 (ken je wel, die tekens zie je soms in de adresbalk).

Het idee is dan dat je je webpagina in escapes omzet. Waterdicht is dat natuurlijk weeral niet, de javascript-functie "unescape()" zet je zo alles om in leesbare tekens.

CueBoy · 15 jun 2003, 22:01

meon schreef:Beeld > Bron (frameset bron)
Rechtermuis > Bron (bron pagina)

Daar gaat je systeem....

Trouwens, ik gebruikte Opera, daar kan je gewoon kiezen tussen welke bron je wilt zien

Oeps...

(weeral iets geleerd)

Toch nog ff gezocht... en niks gevonden, behalve een link (is wel in het Engels, sorry 'bout that) waar beweerd wordt dat je je source niet kunt "scrambelen"...

/Edit : linkje toegevoegd.

15 jun 2003, 22:45

Mja, ge kunt uw code wel degelijk scrambelen, maar het is geen moeite om die te ontcijferen, dat zou correcter omschreven zijn

Een goeie wachtwoordbeveiling kan enkel server-side, dus al die client-side stuff... is nutteloos

The Oddity · 16 jun 2003, 11:32

Probleem ivm images is dus opgelost.

Indien je login en wachtwoord in page zet, zoals nu is dat idd zéér eenvoudig om dat op te lossen. Met of zonder frames, met IE of met Opera... security==zero.
Scramblen dat gaat inderdaad, maar doordat de pagina client-side gescramled wordt, krijg je ook het algortme mee hoe gescrambled wordt. Maw je pwd en login zal niet meer zomaar te lezen zijn, maar indien iemand enige moeite doet, de reverse weg te volgen van het scramble script is hij ook zo zonder probleem binnen. Maw: niet goed voor zaken die beveiliging vereisen.

Volgens mij is de enige manier om iets min of meer deftig te beveiligen op de users.skynet.be als volgt:

De pagina die protected moet zijn, zet je gewoon op je webspace. De naam van dit bestand zorg je ervoor dat het 'loginpwd.html' noemt. Je zorgt ervoor dat er GEEN enkele link van je site naar die pagina loopt. Eigenlijk GEEN link waardan ook. (Google zou dat zo kunnen opmerken en dan is de security om zeep

)

Vervolgens zet ge in uw toegangs-pagina een formuliertje, met een javascriptje, die bvb de 'login' & 'pwd' vraagt. Je javascriptje laat je dan volgende actie uitvoeren:

Code: Selecteer alles

<script Language="JavaScript">
  var targetUrl=".html";
  function login() 
  {
     if (validLogin()) 
     {
        password = document.userInfos.username.value;
        username = document.userInfos.password.value;
        self.location.href=password+"_"+username+targetUrl;
     }
     // validLogin() is een functie die controleert of je geen velden blanco 
     // gelaten hebt, of indien je slechts 1 veld hebt ingetikt... enz.. dat is 
     //dus faculatief
  }
</script>

Wat is dus de essentie van het verhaal: dat je als login en pwd een zodanige combinatie ingeeft, zodat het de protected bestandsnaam vormt. Maw ofwel maak je de file loginpwd.html, en deel je mensen login en pwd mee, ofwel geef je het een ordinaire bestandsnaam en deel je mensen de bestandsnaam mee. In dit laatste geval heb je in principe maar 1 invoer veld nodig.

vb: bestandsnaam: pro_tected.html (vb2: login_pwd.html)
1:
login: pro of login
pwd: tected of pwd
---> je krijgt toegang
2:
login: prot of loginp
pwd: ected of wd
---> je krijgt GEEN toegang

Ik veronderstel dat het nu volledig duidelijk is. Doordat de skynet-server geen 'directory-browsing' (= geef niet de inhoud van een map weer via het http) kan je dit zo doen. Op een server waar je wel de inhoud van de map via http kan zien, dien je er een index.html page in die map te zetten met de protected file in. (vb: users.pandora.be)

Beste manier is inderdaad wel server-side security. Nuja, volgens mij is dit een oplossing. Ik denk niet echt dat ze omzeilbaar is.

Erik · 16 jun 2003, 11:45

hallo,

Zoals meon al aanhaalde alle client side beveiliging is grote rommel en kan gemakkelijk omzeild worden.Wilt u echte beveiliging dat zal u een host moeten zoeken die u serverside scripting toelaat of u toestaat .htaccess te gebruiken doch zulke hosts zijn meestal niet gratis en de gekende gratis hosts lycos en dergelijke zijn irriterend traag omdat ze teveel gebruikers hebben

javascript login scriptjes zijn zelf met frames of in een externe ".js" file niet te betrouwen ....

jan28 · 16 jun 2003, 11:51

Bedankt allemaal voor de tips,

als ik vanavond tijd heb zal ik de methode van The Oddity eens proberen uit te voeren, ik laat wel iets weten. Dan mogen jullie eens proberen 'in te breken'.

Jan

The Oddity · 16 jun 2003, 11:55

Erik schreef:javascript login scriptjes zijn zelf met frames of in een externe ".js" file niet te betrouwen ....

Erik, als gij mijn scriptje kunt omzeilen? Dan krijgt ge een pint zenne, maar normaal kan het niet zenne

I know het is niet gebruiksvriendelijk, en niet 200% safe. Maar indien je het doet zoals ik gezegd heb, dan zal niemand daar binnenkomen. Want de users.skynet.be kunt ge zelf niet leechen omdat die met zogezegde userpools(1->6) zitten... bij pandora kunt ge ze denk ik wel leechen.. niet zeker.

Erik · 16 jun 2003, 12:09

hallo,

als je de url naar het "protected" area kent hoef je die maar in te typen en je hebt prijs en er bestaat meer als een tooltje die u toelaat bestanden op een server te bekijken

Het scriptje van TheOddity is echter een goeie "noodoplossing" omdat je geen serverside toegang hebt op users.skynet.be (en ook geen htaccess )

wat dat pintje betreft maak daar maar een cola van

het is een goeie oplossing maar niet de meest veilige maar ik denk niet dat jan zijn persoonlijke geheimen daar gaat plaatsen he ?

The Oddity · 16 jun 2003, 12:18

Lol erik, ik vrees dat ge mij toch pintje gaat moeten zenne.. want dat is het juist.. op Skynet werken die tools niet

toch niet voor zover ik weet.

Het is inderdaad een noodoplossing. Die volgens mij wel vrij proof is.

Op pandora zoals gezegd.. met leechen hangt ge eraan voor de moeite

Pi R² · 16 jun 2003, 13:39

das inderdaad een redelijk veilige methode van the oddity. Ik zie niet in hoe ge anders de bestandsnamen van alle bestanden op uwe server kunt vinden, tenzij ge dan ftp toegang hebt of kunt leechen of er ergens anders een slordigheid zit zodat de bestandsnaam kan teruggevonden worden.

Erik, probeert dit quizke eens te kraken, dat is volledig om dat systeem gebasseerd : http://www.userbase.be/forum/viewtopic.php?t=922

16 jun 2003, 14:36

The Oddity schreef:Je zorgt ervoor dat er GEEN enkele link van je site naar die pagina loopt. Eigenlijk GEEN link waardan ook. (Google zou dat zo kunnen opmerken en dan is de security om zeep )

Wees daar maar niet zeker van: Stel, je surft naar die beveiligde pagina, en van daaruit naar google. In de browser-header-tags wordt dan een referrer meegegeven, zijnde... je beveiligde pagina, en laat google nu net ook die referrers nagaan...

The Oddity · 16 jun 2003, 15:36

@meon, dat is idd het gevaarlijkste eraan.. das ook het enige minpunt, naast gebruiksvriendelijkheid... dienen engine van google.. onthoudt soms té veel

Dusja.. das het enige.. maar voor een users.skynet.be page is dat al in het verste getrokken. Ik ben er zeker van dat niemand van userbase ofzo.. die page kan kraken... dus denk dat dat al iets wil zeggen

16 jun 2003, 16:06

Wat je kan doen is je beveiligde pagina in een nieuwe (weeral niet voor de hand liggende) map, en daar zet je een file robots.txt in met volgende inhoud:

Code: Selecteer alles

User-Agent: *
Disallow: /

Of je zet in de header van je pagina volgende code:

Code: Selecteer alles

<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">

voor elke zoekmachine of

Code: Selecteer alles

<META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW">

voor enkel Google.
Bron: http://www.google.be/intl/nl/remove.html

Erik · 16 jun 2003, 16:52

The Oddity schreef:Lol erik, ik vrees dat ge mij toch pintje gaat moeten zenne.. want dat is het juist.. op Skynet werken die tools niet toch niet voor zover ik weet.

Het is inderdaad een noodoplossing. Die volgens mij wel vrij proof is.

Op pandora zoals gezegd.. met leechen hangt ge eraan voor de moeite

nee hier met die cola jij

als uw loginurl http://users.skynet.be/oddity/login.html is maar uw beschermde (dieje da ge te zien krijgt nadat ge successvol ingelogd zijt is ) http://users.skynet.be/oddity/mijn_geheimen.html

dan schakel ik javascript uit in mijn browser voorkeuren en ik typ de url naar "mijn_geheimen.html" geen mens die mij om een username en password gaat vragen

Pi zoals ik al zei bestaat er meer als een tool die u toelaten bestanden op een server te bekijken (zonder ftp access te hebben) een dervan draagt de naam "webspider" en werkt om het even welke server ....

16 jun 2003, 16:56

Erik, en hoe gaat ge in de eerste plaats weten hoe die mij_geheimen is?
Dat ge daarna gewoon die url kunt bookmarken, ja, se da's niet erg, maar het gaat er om dat ge juist niet die eerste pagina kunt vinden op die manier.
Geef die cola maar terug

Erik · 16 jun 2003, 17:04

hi,

download zo een tooltje waar ik het over heb

vul in http://users.skynet.be/oddity/ en scannen maar.......

hier bestaan zelf Delphi componenten voor TLMDHtmlscan ....

wat the Oddity Bedoel is dat skynet geen "directoryBrowsing " toestaat via uw browser ..... dus http://users.skynet.be/oddity/dir/ zal een foutmelding geven (als er geen index.html is )

16 jun 2003, 17:11

Die tools gaan toch enkel de alle links af die ze in html tegen komen?
Da's zoals de filebrowser die bij GetRight zit, speciaal opdat ge makkelijk files kunt downloaden die anders te ver weg zitten verstopt.
Dus als ge nergens een link maakt naar een bepaald bestand, dan zult ge die dingen volgens mij niet tegen komen...

Pi R² · 16 jun 2003, 17:12

ja erik, zo ist gemakkelijk he. Maar als diene pipo om de 2 dagen zijn beveiligde pagina van naam veranderd kunt ge weer nie weg he.

Zoekrobotten kunt ge uitzetten met de tags van meon, maar ge kunt ook mss iets met een javascriptje maken dat het in nen popup verschijnt zonder adresbalk enzo, zo kunt ge alleen binnen die bepaalde pagina's surfen.

The Oddity · 16 jun 2003, 17:49

Lol hier die pint!

Erik: ten eerste kunt gij nooit weten hoe de file noemt: dat weet enkel diegene die er access toe hebben.

Maw uw redenering gaat niet werken!!

Om die file te weten te komen op de server, wel vergeet! Ik daag u uit bij deze om mij te zeggen welke file(s) er in deze dir staa(t)(n): http://users.skynet.be/oddity/contest/
ps: om het spel eerlijk te spelen, indien ge meespeelt: stuur ik een screenshot naar sensei, kwestie dat ik er u niet zou kunnen opleggen eh

De webserver bij Skynet maakt gebruik van zogenaamde userpools, waardoor het zéér lastig wordt om hetgeen gij zegt toe te passen op de users.skynet.be. Met andere woorden, volgens mij werkt uwen webspider niet en die delphi component: ik twijfel er sterk aan

Dat van die directory browsing akkoord, maar de dnsen van Skynet is nen wirwar waar ge volgens mij niet aan uit gaat geraken

Bij pandora zal dat normaal wel lukken. Zal eens test opzetten tussen pandora en skynet en ge moogt et eens bewijzen

(bewijzen op tafel

)

Ben nu zelf tool aant downloaden enne volgens mij gaat dat ni lukken zenne.

Volgens mij gaat nog blijken dat mijn script safer is dan gedacht van Jscript

Sensei Zeon · 16 jun 2003, 21:05

screenshot ontvangen, so try it Erik

The Oddity · 17 jun 2003, 12:47

We hebben een eerste poging: ondernomen door ons actief forum lid: Cueboy.

De bestanden zijn, volgens Cueboy deze op de image.

Deze bestanden zijn fout!
Dit zijn immers bestanden afkomstig van een 404-page die je te zien krijgt bij Skynet, indien je zou surfen naar http://users.skynet.be/oddity/contest/. Sensei zal dat wel kunnen bevestigen.

Software hiervoor gebruik: zou in de buurt moeten liggen van teleport pro en andere varianten: maw dergelijke proggies moet ge niet meer proberen

Indien nog mensen eens willen proberen: doe gerust, post je idee en er zal wel iemand zeggen of het klopt of niet.

Erik: lukt het met die krachtige Delphi component? Ik zen echt curieus

CueBoy · 17 jun 2003, 13:10

Zoals je zelf al kan zien ("Edit"), dacht ik zelf al dat dit niet de goeie bestanden waren... Dit gevoel kwam
- ongeveer 10min. na de euforie waarin in de PM naar The Oddity (en SeNsEi Ze0n) had gestuurd, toen ik voor het eerst goed en wel het resultaat bekeek (tja, adrenaline hé... je doet er de dwaaste zaken door

)
- en toen ik het tooltje (rara... lees later welk

) eens had uitgeprobeerd op de root van "mijn" webspace bij Tripod - hieruit bleek dat het ook daar een andere webpagina (xxx.html) niet vond...

Het gebruikte tooltje is .... inderdaad, Teleport Pro (wat is die The Oddity toch sterk bezig

).

Ps. mijn inzending dateert al van gisterenavond (16/06) rond 22u... ik heb dan toch de snelheidsprijs

/edit : typo

Erik · 17 jun 2003, 16:06

The Oddity schreef:We hebben een eerste poging: ondernomen door ons actief forum lid: Cueboy.

De bestanden zijn, volgens Cueboy deze op de image.

Deze bestanden zijn fout!
Dit zijn immers bestanden afkomstig van een 404-page die je te zien krijgt bij Skynet, indien je zou surfen naar http://users.skynet.be/oddity/contest/. Sensei zal dat wel kunnen bevestigen.

Software hiervoor gebruik: zou in de buurt moeten liggen van teleport pro en andere varianten: maw dergelijke proggies moet ge niet meer proberen

Indien nog mensen eens willen proberen: doe gerust, post je idee en er zal wel iemand zeggen of het klopt of niet.

Erik: lukt het met die krachtige Delphi component? Ik zen echt curieus

Nee hij toont mij het pad en hoeveel bestanden er staan maar niet de naam deju deju

hoeveel kost een pint tegenwoordig ?

The Oddity · 17 jun 2003, 16:56

Ah, dat zou ook al iets zijn, zeg x hoeveel bestanden hij zegt dat er staan? Ik ga zelf ook nog eens spelen zaterdag met die delphi component. Eens zien wat dat geeft. En zeker wat dat geeft bij pandora

Jan, ik denk dat we bij deze wel kunnen besluiten dat mijn methode eigenlijk nog niet zó slecht is. Qua veiligheid kan het zeker tellen, enkel beetje ongebruiksvriendelijk dat de filename de login en pwd moet zijn...

Ik denk met al de tips die ge hier gekregen hebt, dat ge een ferm beveiligde fotogallerij gaat kunnen maken.

En die pint: nen euro in de studentencafés

Erik · 17 jun 2003, 17:15

hallo,

hij zegt dat er 1 bestand in die directory staat maar 0 kb ?????? hmmmm

en studentencafes daar mag ik niet binnen ik ben te oud

Pi R² · 17 jun 2003, 17:46

pad, der zijt ge vet mee. Kunt ge evengoed zeggen: het staat op http_root/powered_by_skynet/residential/bs566564/al/oddity.

1 bestand van 0 kilobyte zal het wel niet zijn, the oddity kennende zal der wel instaan: u bent gewonnen, gefeliciteerd (en das meer dan 0 kb)

17 jun 2003, 17:55

Pi R² schreef:u bent gewonnen, gefeliciteerd (en das meer dan 0 kb)

Dat zou 32 bytes zijn, en dat ronden we af naar 0 kb

Pi R² · 17 jun 2003, 17:59

in mijn versie is dat 170 byte. En waarschijnlijk zal hij der wel een tekeninske bij zetten van een champagnefles die openspat ook.

Probleem met plaatsen van foto's

Userbase AI hulp

Antwoord