/u/94596/crop643fb12fd4e6d.png?f=community)
Dit is een vervolg op iets dat ik in mei 2013 had aangekaart.
Hetzelfde beveiligingsprobleem is meer dan een jaar later nog steeds aanwezig. Als een gebruiker zijn of haar profiel wijzigt op deze pagina, dan moet het profielwachtwoord gegeven worden om de wijzigingen te bevestigen. Het wachtwoord gaat als plaintext het Internet over.
In het vorige topic had ik al aangekaart dat dit simpelweg is op te lossen door de URL in het action-attribuut te laten beginnen met 'https' in plaats van 'http'. Dit kan nu al gedaan worden en werkt.
Het voorstel voorkomt niet actieve aanvallen (injectie) omdat het formulier en andere delen van Tweakers.net en GoT nog steeds opgevraagd worden via HTTP. Het voorkomt wel passieve (sniffing) aanvallen doordat het wachtwoord niet meer plaintext het Internet over gaat. Dit lijkt mij wenselijk, omdat het e-mailadres ook getoond wordt op de profielpagina en het wachtwoord gelijk kan zijn aan diensten die gekoppeld zijn aan dit e-mailadres.
Een ander voorstel is om de profielpagina alleen nog opvraagbaar te maken via HTTPS. Dit werkt nu al, maar vereist nog steeds dat het eerste voorstel wordt doorgevoerd om te voorkomen dat het wachtwoord niet alsnog plaintext over het Internet gaat bij het bevestigen van de wijzigingen op deze pagina.
[edit]
Als de wijzigingspagina niet opent in HTTPS, kopieer/plak dan de volgende URL in de adresbalk: https://gathering.tweakers.net/forum/edit_user
Let op dat verschillende elementen van de pagina (user icons, favicon, etc.) nog steeds via onveilige HTTP verbindingen worden opgehaald. Dit doet niets af aan het feit dat de submit knop naar de HTTPS site kan verwijzen om in ieder geval het versturen van de gewijzigde gegevens en het wachtwoord over een veilige verbinding te laten lopen.
Hetzelfde beveiligingsprobleem is meer dan een jaar later nog steeds aanwezig. Als een gebruiker zijn of haar profiel wijzigt op deze pagina, dan moet het profielwachtwoord gegeven worden om de wijzigingen te bevestigen. Het wachtwoord gaat als plaintext het Internet over.
In het vorige topic had ik al aangekaart dat dit simpelweg is op te lossen door de URL in het action-attribuut te laten beginnen met 'https' in plaats van 'http'. Dit kan nu al gedaan worden en werkt.
Het voorstel voorkomt niet actieve aanvallen (injectie) omdat het formulier en andere delen van Tweakers.net en GoT nog steeds opgevraagd worden via HTTP. Het voorkomt wel passieve (sniffing) aanvallen doordat het wachtwoord niet meer plaintext het Internet over gaat. Dit lijkt mij wenselijk, omdat het e-mailadres ook getoond wordt op de profielpagina en het wachtwoord gelijk kan zijn aan diensten die gekoppeld zijn aan dit e-mailadres.
Een ander voorstel is om de profielpagina alleen nog opvraagbaar te maken via HTTPS. Dit werkt nu al, maar vereist nog steeds dat het eerste voorstel wordt doorgevoerd om te voorkomen dat het wachtwoord niet alsnog plaintext over het Internet gaat bij het bevestigen van de wijzigingen op deze pagina.
[edit]
Als de wijzigingspagina niet opent in HTTPS, kopieer/plak dan de volgende URL in de adresbalk: https://gathering.tweakers.net/forum/edit_user
Let op dat verschillende elementen van de pagina (user icons, favicon, etc.) nog steeds via onveilige HTTP verbindingen worden opgehaald. Dit doet niets af aan het feit dat de submit knop naar de HTTPS site kan verwijzen om in ieder geval het versturen van de gewijzigde gegevens en het wachtwoord over een veilige verbinding te laten lopen.
[ Voor 30% gewijzigd door The Zep Man op 13-08-2014 08:35 ]
Yar har, wind in your back, lads, wherever you go!
:strip_icc():strip_exif()/u/288856/Avatar_Fire_60x60.jpg?f=community){kind=avatar}
:strip_exif()/u/306933/ezgif.com-optimize.gif?f=community)
/u/148661/crop559fd5b259ff4.png?f=community)
Ik zal niet beweren dat het veel werk was maar even simpel https forceren is het nu ook weer niet.
/u/8/oog3.png?f=community)
Dit topic is gesloten.