Synology-Forum.nl
Algemeen => Vragen en opmerkingen OVER het forum => Topic gestart door: Briolet op 03 februari 2017, 09:38:04
-
Sinds dit forum enkele jaren geleden naar de SMF software overgestapt is, krijg ik regelmatig de melding bij het inloggen dat het wachtwoord incorrect is. Er komt dan een extra window om het wachtwoord opnieuw in te vullen. Daar moet ik dan 2 seconden wachten met het bevestigen omdat er 2 seconden tussen de inlogpogingen moet zitten.
Dit gebeurd misschien bij 1 op de 20 inlogpogingen. Het wachtwoord en de accountnaam zijn altijd goed, want die tik ik nooit zelf in, maar worden vanuit de sleutelhanger ingevuld.
Tot nu toe snapte ik nooit waarom hij mijn wachtwoord soms als foutief zag. Maar inmiddels heb ik gezien dat het wachtwoord samen met het session ID versleuteld wordt en daarmee wordt ingelogd. Blijkbaar komt het af en toe voor dat de host en mijn PC van een andere session ID uitgaan bij de inlog.
Ik gebruik alleen Safari bij de inlog, dus kan het ook iets met Safari zijn in combinatie met de SMF software. Mijn vraag is eigenlijk of ik hier de enige ben waar dat gebeurd, of dat anderen dat ook overkomt maar net als ik nog nooit gemeld hebben.
-
Ik gebruik ook safari maar sta eigenlijk altijd ingelogd. Ik heb wat jij omschrijft verder nooit bewust meegemaakt.
-
Dat is mij (nog) nooit overkomen (Windows Chrome).
-
Het gebeurd bij mij vooral bij inloggen van de laptop (Dus via Wifi met een MacBook Pro). Via de desktop (iMac bedraad) gebeurd het slechts af en toe.
Ik log altijd weer uit na alles gelezen te hebben. Ik zal er nog eens op letten, maar waarschijnlijk gebeurd het als ik de browser nog open stond van de vorige sessie en de browser heeft niet door dat er een nieuwe sessie ID uitgegeven is. Misschien gebeurd het ook vaker op de laptop omdat het daar vaker voorkomt dat ik daar vanuit een oude pagina opnieuw inlog.
-
Ik heb er het laatste half jaar nog eens beter op gelet. Ik denk dat het komt dat het wachtwoord met de session ID gesalt wordt.
Na uitloggen staat er weer een login-veld waar mijn wachtwoord automatisch ingevuld wordt. Intern zal het waarschijnlijk direct gehashed en gesalt worden.
Als ik dan een uur later de login-button klik, zend hij de wachtwoord-hash die een uur geleden berekend is met de oude session-ID . De server werkt inmiddels met een nieuwere session ID.
Dit lijkt me dus niet OS afhankelijk maar zou steeds moeten gebeuren als er bij het uiloggen weer automatisch een wachtoord ingevuld wordt. Er zou dus een check moeten komen of de session-ID verlopen is.
Geen probleem, behalve dat je normaal 2 seconden moet wachten voor je opnieuw mag inloggen en regelmatig tik ik binnen die 2 seconden na de foutmelding weer op de inlogbutton waardoor ik een tweede keer tegen een error dialoog oploop. :P
-
Even off-topic:
DSM gebruikt sinds een jaar ook een vergelijkbare codering van het wachtwoord bij inloggen. Dus ook via een onbeveiligde http verbinding wordt het wachtwoord gecodeerd verstuurd, gesalt met de session ID.
Als je uitlogt, krijg je een inlogscherm te zien, waarop mijn autofill van de browser alweer het wachtwoord invult. Dit forum en DSM coderen het wachtwoord direct en salten met de session ID. Als ik dat een paar uur later inog, is de session ID verlopen en krijg ik een foutmelding.
DSM doet het minder netjes. Ik haal net mijn laptop uit de slaapstand, log in en zie:
[attachimg=1]
Oftewel: hij stuurt het maar ongecodeerd. Het is gelukkig wel gecodeerd door de https verbinding.