Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 35, views: 7.273 •

De afgelopen twee weken zijn we druk bezig geweest met iteratie #7. Dit keer hebben we maar liefst 72 tickets weggewerkt. Net als bij de vorige iteratie is er veel werk besteed aan zaken die te groot zijn om in één iteratie af te handelen, waardoor er opnieuw niet veel zichtbare wijzigingen live zijn gezet.

Notificatiesysteem

We hebben ons notificatiesysteem vernieuwd. Ingelogde gebruikers kunnen voortaan notificaties terugzien in de voorkeuren van je profiel. Als je bent ingelogd wordt voortaan ook onthouden of je een bepaalde notificatie al hebt gezien, zodat je niet zo vaak hetzelfde bericht krijgt voorgeschoteld. Ook wordt dit systeem voortaan gebruikt om meldingen weer te geven als er bijvoorbeeld een reactie op je gallery is geplaatst. Daar krijg je nu geen DM meer voor, al kun je wel aangeven dat je van deze notificaties een e-mailtje wil ontvangen.

Notificatiesysteem

Veiligheidswaarschuwing

In iteratie #5 hebben we voor onder andere het algemene inlogscherm https-verbindingen in gebruik genomen. Er zijn echter nog enkele plekken op de site waar je over een onbeveiligde verbinding kan inloggen, bijvoorbeeld bij het plaatsen van een reactie. Hier hebben we nu een waarschuwing met een link naar het beveiligde loginscherm bijgezet, zodat iedereen daar desgewenst eenvoudig gebruik van kan maken.

Veiligheidswaarschuwing

Wachtwoordeisen

In de vorige iteraties zijn er al diverse verbeteringen doorgevoerd aan de wachtwoordeisen. Zo is het nu bijvoorbeeld mogelijk om een wachtwoord van 500 karakters te gebruiken, zodat je pass phrases kan gebruiken. Het oude eisenpakket - met verplicht gebruik van cijfers, hoofdletters, speciale tekens, et cetera - stond daarmee echter op gespannen voet, dus hebben we besloten om die eisen te laten vervallen. Voortaan is het alleen nog maar noodzakelijk dat een wachtwoord een minimale entropie heeft. Het wachtwoord moet volgens de wachtwoordmeter 'sterk' zijn en hoe je dat bereikt, vinden we niet belangrijk.

Password Strength Image credits: xkcd.com

Map-icoontje HoT op GoT

De nieuwste versie van Firefox gaf een klein weergaveprobleem op de Frontpage. De map-icoontjes voor de topics bij HoT op GoT werden niet meer weergegeven. Dit euvel is nu verholpen.

Overige

De volgende iteratie zal in plaats van de gebruikelijke twee weken, drie weken duren. We hopen hierdoor meer tijd te kunnen besteden aan het development-werk en minder aan andere zaken, zoals het schrijven van deze .plan Knipoog smiley Als dit goed werkt, zullen we voortaan drie weken voor de iteraties uittrekken. Dan moet je wel iets langer op de development-.plans wachten, maar als het goed is kunnen we dan nog meer werk verzetten.

Door Koen Kuipers

- Developer

Sinds augustus 2011 developer en tafelvoetbalkampioen bij Tweakers.


Reacties (35)

Mooi werk weer.
Hoeveel tickets komen er gemiddeld per weer week bij? (maw: werken jullie meer weg dan je binnen krijgt?)
maw: werken jullie meer weg dan je binnen krijgt?
Da's een utopie; als je 100 developers hebt dan krijg je simpelweg voor 200 developers aan requests binnen. Op zich is dat ook niet erg, je moet niet alles willen oplossen. Bepaalde requests zullen gewoon na verloop van tijd niet nuttig of belangrijk genoeg blijken en worden dan vanzelf een keer 'wontfix' als ze nog niet door andere ontwikkelingen voorbijgestreeft zijn.
Zoals die spoilers op het forum die je niet kunt lezen op touch-devices? Die staat al heel wat jaar open ;)

Misschien zijn er met 100+ miljoen iPhones en iPads eindelijk eens genoeg van die rare dingen in omloop om daar eens wat meer prioriteit aan te geven.

[Reactie gewijzigd door Bosmonster op 13 oktober 2011 08:03]

Er zitten nog wel wat bugs in dat notificatiesysteem :+

Ten eerste krijg ik alle meldingen nu per mail EN als DM, als ik dat wil wijzigen bij voorkeuren: ik zet alle mail-vinkjes uit en druk op 'opslaan', dan ververst de pagina en staan alle vinkjes bij email weer aan :P
Daar bleek inderdaad een bugje in te zitten; als het goed is zou het nu wel correct moeten werken :)
:Y) Werkt! Is het dan ook mogelijk om, net als zoals in jullie screenshot, alleen de melding weer te geven en niet de volledige tekst van een reactie op het blog oid?

[Reactie gewijzigd door Pixeltje op 10 oktober 2011 15:52]

Dat is handig! Ik vond het altijd al zo onhandig dat je met regelmaat op je gallerypagina, blogs etc moest kijken om te zien of er nieuwe reacties waren (wat 99 van de 100 keer natuurlijk niet zo is).

Notificaties. d:)b
Ehm, kan het zijn dat m'n meuk/update-tracker instellingen (welke onderdelen, hoeveel items ze hebben, wanneer ze worden ververst) gereset zijn met deze update? Vanmorgen had ik nog m'n eigen-aangepaste-updatetracker, nu heb ik de default die ik ook zie als ik niet ben ingelogd (ja, ik heb gecontroleerd dat ik nog steeds ben ingelogd).
Mooi werk verzet, 2 weken ipv van 3 lijkt me wel beter, 2 weken zijn echt zo voorbij. Vooral de verbeteringen in het notificatiesysteem zijn welkom, ik vond die instellingen altijd een beetje vaag, maar nu is het superduidelijk gedaan. Keep posting :) !
Er zijn echter nog enkele plekken op de site waar je over een onbeveiligde verbinding kan inloggen, bijvoorbeeld bij het plaatsen van een reactie. Hier hebben we nu een waarschuwing met een link naar het beveiligde loginscherm bijgezet
Ik zit net even op Tweakblogs te kijken in een andere browser, daar heb ik echter (nog) geen linkje om via een beveiligde verbinding te loggen... :>
Ik gok dat die 'vergeten' is... Ik heb daar nog even een ticket voor aangemaakt :)

[Reactie gewijzigd door crisp op 11 oktober 2011 11:42]

Waarom wordt er niet een redirect naar de HTTPS login pagina gedaan als een user voor een bepaalde actie ingelogd moet zijn? Lijkt mij een veel logischere oplossing dan slechts een linkje.

Ben benieuwd wanneer de vernieuwde Meukalerts en beheer ervan komen, dat blijft momenteel nog rg omslachtig en daarbij krijgen gebruikers niet altijd een mailtje, terwijl een nieuw item (waar ik wel op geabonneerd ben) wl in de meuktracker verschijnt.
De belangrijkste reden dat we die alternatieve logins niet zomaar via HTTPS kunnen doen is omdat ze doorgaans met Ajax te maken hebben. De reactie-plaatscode op de frontpage gaat bijvoorbeeld via Ajax, net als het login-popupje uit de screenshot.

En helaas ziet men een https-variant van hetzelfde domein als een ander domein waardoor je 'cross domain policies' krijgt. Voor zover wij weten is er geen mogelijkheid vanaf een http-pagina naar HTTPS te posten/verbinden met Ajax.

Dan zouden we natuurlijk de pagina via HTTPS kunnen posten en alsnog de content verwerken, maar dat bijt dus weer met de normale werking van de die formulieren.
Met een iframe en JSONP kan het wel.
Zie bijvoorbeeld hier
Volgens mij gebruiken jullie je eigen js library, maar bijvoorbeeld jQuery heeft hier ingebouwde support voor, als je het dataType van je ajax request op "jsonp" zet.

edit:
jQuery info toegevoegd.

[Reactie gewijzigd door bergamot op 11 oktober 2011 08:56]

Vziw kan je geen POST-requests met die "jsonp"-methode verzenden en we gaan geen logins (of reactieposting) via GET-requests faciliteren, ongeacht of dat via HTTPS loopt of niet.

Verder heb je Cross-Origin Resource Sharing wat uiteraard niet in elke browser ondersteund wordt (en zelfs dan nog niet enorm triviaal in te zetten is). En gedoe met ouderwets iframe's enzo ja...

Allemaal geen oplossingen die we heel erg mooi vinden of heel triviaal zijn om te bouwen. En dat alleen zodat niet-ingelogde gebruikers dan met 1 stap minder beveiligd in kunnen loggen... Maar als je je netwerk niet vertrouwd, dan moet je sowieso niet vanaf een onbeveiligde pagina naar een beveiligde gaan lopen posten, want er is geen enkele garantie dat je huidige, onbeveiligde pagina uberhaupt de juiste is en dus ook niet dat ie geen rare dingen doet met je POST-request...

Kortom, je moet voor echt veilig inloggen toch wel vanaf een HTTPS-pagina naar een andere HTTPS-pagina POST-requests sturen. Dus zelfs als we het technische probleem op kunnen lossen is er nog steeds een stukje onveiligheid dat domweg niet weg te nemen valt, tenzij we elke pagina als HTTPS aan zouden gaan bieden. Maar dat heeft weer allerlei andere praktische bezwaren en dan zou dit probleem sowieso weer niet bestaan :P
Het leek ons dus beter om dan maar een simpele oplossing te bieden, namelijk door de gebruiker erop te wijzen dat de huidige loginmethode onveilig kan zijn en dat dat elders veiliger kan.
Waarom is het niet mogelijk te kiezen in profiel voor https, heb je ook geen gedonder met Cross.... .

Zoals bij twitter ook is, je kunt aanvinken in je profiel "altijd https gebruiken", waarna elke pagina over https loopt :)
We willen advertenties kunnen uitserveren (we moeten tenslotte geld verdienen) en die gaan vziw lang niet altijd via https. Dus dan zou je alsnog krijgen dat iedereen die https kiest dan meldingen van zijn browser krijgt door de advertenties.
En laten we eerlijk zijn, zo belangrijk is tweakers.net nou ook weer niet voor bezoekers, dat we heel veel moeite moeten doen voor https-ondersteuning :)
Ik geloof dat ik zeker 5 jaar lang 'password' als wachtwoord heb gebruikt hier, niemand is ooit ingebroken :)
Sinds gister veranderd, omdat eindelijk die hoofdletter eis er uit is gehaald. Dank dat jullie naar mij hebben geluisterd!

En wederom, goed bezig. Zoals t.net technisch in elkaar steekt is een prachtig voorbeeld voor de web development community.
Erg goed vind ik de passwordcontrole nog niet:
"1111111111111" = Sterk
"12345qwert" = Sterk
"www.tweakers.net" = Sterk
enz.

Is het niet handig om de wachtwoorden nog op een lijst te controleren? (alle wachtwoorden van 13=< tekens zijn nu sterk
Het zijn ook sterke wachtwoorden bij een brute-force attack (hoewel puur numeriek wellicht wat minder vermits een attacker echt doorgaat tot 13 digits). Een dictionary attack gaan naspelen is praktisch gewoon niet mogelijk (en zal deze voorbeelden waarschijnlijk ook niet kraken).

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013