Filters onthouden - Development-iteratie #130 - IT Pro - .Plans

Onze developers hebben iteratie #130 opgeleverd waarin de focus lag op het afronden van het nieuwe cms voor actiepagina's. Daarnaast is de community pick opgeleverd: het onthouden van je laatst gebruikte filters. Tot slot hebben we oude wachtwoorden opgeruimd en een nieuw likje verf aan productkoppelingen gegeven.

Communitypick XL: Filters onthouden

Zoals jullie konden lezen in het .plan van development-iteratie #128, hebben we de afgelopen sprints gewerkt aan de community pick XL. Vanaf nu kun je ervoor kiezen je laatst gebruikte filters te activeren bij je eerstvolgende bezoek aan een bepaalde productcategorie in de Pricewatch en in Vraag & Aanbod.

Als je niet ingelogd bent of geen account hebt, dan onthouden we je ingestelde filters alleen voor je huidige browser. Voor ingelogde gebruikers onthouden we dit in je profiel en zo kun je met dezelfde filters verder gaan op een ander apparaat waar je ingelogd bent op Tweakers.

Filters onthouden community pick xl desktop — Weergave van laatst gebruikte filters op desktop.

Oude wachtwoorden gereset

Naar aanleiding van onze grote wachtwoorden-reset hebben we onze database ook opgeschoond van wachtwoorden met een oudere hashing-methode. Als je het afgelopen twee jaar hebt ingelogd, merk je hier niets van, omdat je wachtwoord dan tijdens het inloggen al is omgezet naar de nieuwe hashing-methode. Andere gebruikers kunnen een nieuw wachtwoord aanvragen via de 'wachtwoord vergeten'-functie op de inlogpagina.

Die oude wachtwoorden waren nog opgeslagen met de iets oudere, maar nog steeds veilige hashing-methode pbkdf2 in plaats van bcrypt welke we nu gebruiken. Binnenkort zullen we dit wellicht vervangen door Argon2.

Nieuwe styling voor gerelateerde producten

De redactie heeft de mogelijkheid om relevante producten uit de Pricewatch te koppelen aan een artikel. Wij merkten dat vooral bij de gekoppelde producten de afbeelding te klein was om een goede eerste indruk te krijgen van het product. Met de nieuwe styling willen we niet alleen de afbeelding meer ruimte geven, maar ook de productnaam wat duidelijker naar voren brengen. Dit verhoogt de scanbaarheid van het item en je kunt beter onderscheid maken tussen artikelen en producten onder 'Lees meer'.

lees meer nieuwe stijl — De nieuwe styling van gekoppelde producten in de gerelateerde content.

Reviews op Hardware.Info

In development iteratie #123 hebben we al een koppeling gebouwd waarbij relevante reviews van Hardware.Info te zien waren in de gerelateerde artikelen, zoals je kunt zien in bovenstaande screenshot. Nu hebben we deze koppeling ook gebruikt voor het Review-tabblad bij producten. Wanneer er geen review is van onze Tweakers-redactie, maar wel van Hardware.Info, krijg je deze te zien.

reviewtab hardware.info — Koppeling naar een expertreview op Hardware.Info wanneer we er zelf geen hebben.

IT-banen

Reacties (28)

.oisyn Moderator Devschuur® 24 april 2018 14:44

Die oude wachtwoorden waren nog opgeslagen met de iets oudere, maar nog steeds veilige encryptiemethode pbkdf2 in plaats van bcrypt welke we nu gebruiken. Binnenkort zullen we dit wellicht vervangen door Argon2.

Waarom niet gewoon tijdelijk over op bcrypt(pbkdf2(wachtwoord)), totdat de gebruiker inlogt? Dat kun je toepassen zonder het ww te weten (want pbkdf2(wachtwoord) staat in de database), en toch biedt je extra veiligheid.

ACM Software Architect

Webdevelopment

@.oisyn • 24 april 2018 16:38

Dat had gekund en onze code heeft daar zelfs expliciet ondersteuning voor. Maar op die accounts is meer dan 2 jaar - en vaak ruim meer dan dat - niet ingelogd en het wachtwoord dus ook niet veranderd. We wilden hier vooral het risico verkleinen dat met een toekomstige nieuwe lijst wachtwoorden, deze ineens toegankelijk blijken te zijn. De wachtwoorden waren veelal ook van voor onze huidige wachtwoordregels...

Daarbij was het 'oude pbkdf2' wel een mooi snijpunt in de lijst, omdat dat enerzijds bijna precies 2 jaar geleden vervangen was en anderzijds ervoor zorgde dat we wat (weinig gebruikte) code konden verwijderen

Overigens staat pbkdf2 vziw nog in de recente aanbeveling van NIST als zijnde een methode die "goed genoeg" als je 'm al gebruikt en dus niet accuut vervangen moet worden. Er was dus ook niet echt een aanleiding om het voorheen verder te verzwaren door er bcrypt(pbkdf2(wachtwoord)) van te maken.

Verder wordt bij inloggen gecontroleerd of het wachtwoord met de meest recente hashing-instellingen was opgeslagen. Zoniet, dan wordt het gelijk vers opgeslagen. Daar verwijst de opmerking over afgelopen 2 jaar naar die je aanhaalt in een reactie verderop

johnydoe

@.oisyn • 24 april 2018 15:04

Als je het afgelopen twee jaar hebt ingelogd, merk je hier niets van, omdat je wachtwoord dan tijdens het inloggen al is omgezet naar de nieuwe encryptiemethode.

Dat deden ze dus al (en werd ook bij de vorige upgrade naar pbkdf2 gedaan), maar blijkbaar hebben een aantal mensen al een behoorlijke tijd niet ingelogd. Het lijkt me dan inderdaad slimmer dat die mensen een nieuw wachtwoord moeten instellen, ipv hun wachtwoord "onveilig" op te blijven slaan.

.oisyn Moderator Devschuur® @johnydoe • 24 april 2018 15:09

Dat deden ze dus al (en werd ook bij de vorige upgrade naar pbkdf2 gedaan)

Hoezo, "dus"? Dat blijkt niet uit het artikel. Sterker nog, als je dit leest:

Als je het afgelopen twee jaar hebt ingelogd, merk je hier niets van, omdat je wachtwoord dan tijdens het inloggen al is omgezet naar de nieuwe encryptiemethode. Andere gebruikers kunnen een nieuw wachtwoord aanvragen via de 'wachtwoord vergeten'-functie op de inlogpagina.

lijkt het tegengestelde waar. Blijkbaar hebben ze de nieuwe hashing methode (niet encryptie, foei @Zvennn) nog niet toegepast als je nog niet bent ingelogd, en dan blijf je idd "onveilig".

Het lijkt me dan inderdaad slimmer dat die mensen een nieuw wachtwoord moeten instellen, ipv hun wachtwoord "onveilig" op te blijven slaan.

Maar dat is dus onzin. bcrypt(pbkdf2(wachtwoord)) is niet onveiliger dan bcrypt(wachtwoord) zolang 'wachtwoord' minder bits aan entropie heeft dan de hash gebruikt in pbkdf2 dan, wat typisch wel het geval is

Het lijkt me vrij evident dat de keuze nu is gemaakt om de wachtwoorden te resetten juist omdat ze nog pbkdf2(wachtwoord) opsloegen, en ze daar vanaf wilden. Als er al een bcrypt overheen was gegaan dan is er geen reden meer om ze niet op te willen slaan.

[Reactie gewijzigd door .oisyn op 24 juli 2024 20:58]

koku Senior Developer @.oisyn • 24 april 2018 15:26

Uiteraard werkt dubbel hashen ook, maar dat heeft ook een aantal nadelen, zoals "oude" code onderhouden, inloggen met oudere accounts zal (eenmalig) zwaarder zijn en dus langer duren en je hebt wat meer complexiteit in het inlogsysteem. In het verleden hebben we dubbel hashen ook wel gedaan, maar op moment van upgraden naar pbkdf2 werd deze niet als onveilig beschouwd, dus dan is de noodzaak er niet om een meer complexe oplossing te maken.

Edit: Encryptiemethode in de tekst vervangen door hashing-methode. Goed punt

[Reactie gewijzigd door koku op 24 juli 2024 20:58]

s.stok @.oisyn • 25 april 2018 13:05

Misschien handig om te weten maar bcrypt pakt alleen de eerste 72 tekens (bits?) van het wachtwoord.

pbkdf2 was overigens nooit bedoeld voor authenticatie maar om een encryptie sleutel "af te leidden" van het wachtwoord. https://en.wikipedia.org/wiki/PBKDF2

In cryptography, PBKDF1 and PBKDF2 (Password-Based Key Derivation Function 2) are key derivation functions with a sliding computational cost, aimed to reduce the vulnerability of encrypted keys to brute force attacks.

Een encryptie sleutel is doorgaans minstens 1024 bit maar een gemiddeld wachtwoord haalt dit bij lange na niet

een wachtwoord van 8 tekens is (slechts) 64 bits, plus dat elke zelfde wachtwoord ook bij encryptie van de zelfde data ook het zelfde resultaat zal opleveren! Met key derivation word een "unieke" sleutel van het wachtwoord afgeleid die alleen met het juiste wachtwoord en salt (die anders is voor elke genereerde sleutel, zelfs wanneer het wachtwoord het zelfde is) kan worden opgebouwd. - Dit is versimpelde uitleg, het is allemaal wel iets ingewikkelder.

Echter beschermd pbkdf2 niet tegen GPU versnelling omdat het algoritme (sha256) hier eigenlijk niet voor bedoeld is

bcrypt en Argon2 hebben deze bescherming wel, welke overigens alleen van belang is bij het lekken van de hashes. Daarnaast bied NaCI (Libsodium) ook een key derivation functie, met (voor zover ik weet) bescherming tegen GPU versnelling.

Voor ieder die meer wilt weten of crypto en beveiliging algemeen: https://paragonie.com/blog $_/-\o_$ hier heb ik vrijwel al mijn kennis over Crypto vandaan.

.oisyn Moderator Devschuur® @s.stok • 25 april 2018 13:18

Echter beschermd pbkdf2 niet tegen GPU versnelling omdat het algoritme (sha256) hier eigenlijk niet voor bedoeld is

Pbkdf2 heeft een specifieke onderliggende hash functie. De gewenste hash functie (typisch een HMAC) is een parameter voor pbkdf2. Pbkdf2 is in theorie dus weldegelijk op zo'n manier te gebruiken dat hij ook voor de GPU niet geschikt is.

Renzzie 24 april 2018 13:25

Mooie fijne update. Handig dat filters over aparaten meegenomen kunnen worden.

Wanneer er geen review is van onze Tweakers-redactie, maar wel van Hardware.Info, krijg je deze te zien.

Dus wanneer tweakers én de buren een review hebben laten jullie alleen die van tweakers zien? Waarom niet gewoon beide?

jetspiking Freelanceredacteur @Renzzie • 24 april 2018 13:51

Tussen reviews krijg je als eerste die van Tweakers te zien, indien je op het tabblad recensies klikt staat deze er vermoedelijk gewoon bij.

Er is niets verkeerd aan het promoten van eigen recensies, het blijven tenslotte verschillende bedrijven.

Jorissie87 24 april 2018 13:28

Goed bezig, ik kijk regelmatig in de Pricewatch/V&A en was het inderdaad wel redelijk zat om steeds dezelfde filters te moeten aanklikken. Ook het lezen van de reviews doe ik regelmatig dus deze iteratie komt mooi van pas!

Kunnen we trouwens ergens zien welke wensen/userstories er verder op de backlog staan? Voorheen konden tweakers middels een poll prioriteit/wensen uitten, is dat er niet meer?

[Reactie gewijzigd door Jorissie87 op 24 juli 2024 20:58]

Femme UX Designer

Webdevelopment

@Jorissie87 • 24 april 2018 13:34

We hebben de laatste keer een grotere community pick opgepakt (het onthouden van filters), die verspreid over een aantal sprints is gebouwd. Daarom is er in de afgelopen sprints geen poll geweest.

AW_Bos

24 april 2018 13:29

Filters! Geweldige feature

Waar was iteratie eigenlijk #129 ?

[Reactie gewijzigd door AW_Bos op 24 juli 2024 20:58]

Auteur

Zvennn @AW_Bos • 24 april 2018 13:50

Het .plan van iteratie #129 is gesneuveld omdat we in die sprint vooral 'achter de schermen' hebben gebouwd, en dus wezenlijk niets veranderde voor de gebruikers.

Verwijderd @AW_Bos • 24 april 2018 14:23

Good eye @AW_Bos

Gropah 24 april 2018 13:40

Handig om dit filters te onthouden! Misschien zie ik btw wat over het hoofd, maar zit er ook ergens een reset all filters knop? Heb namelijk nogal vaak dat ik dusdanig veel filters wil aanpassen dat het sneller en handiger was om de pagina opnieuw te openen dan om alle filters handmatig te resetten

Auteur

Zvennn @Gropah • 24 april 2018 13:47

Als je filters toepast heb je die mogelijkheid al. Daarnaast is het zo dat als je de onthouden filters ziet, ze nog niet toegepast zijn. Dus als je begint met filteren, onthouden we de nieuwe filters ipv de laatstgebruikte.