Ik gebruik een dienst waarvan me opgevallen was dat de gebruikersnamen en wachtwoorden in plain text in de URL staan als query parameters. Dus bijvoorbeeld als volgt:
Het is overigens wel een https URL dus de body is wel encrypted maar aangezien alles gewoon in de URL te zien is kan iedereen die toegang heeft tot de requests op dat netwerk heel gemakkelijk aan die informatie.
Ik heb dit gemeld bij het bedrijf maar heb geen reactie gekregen. Ze zijn duidelijk niet van plan om dit aan te passen of zelfs maar de melding serieus te nemen. Uit andere ervaringen met dat bedrijf blijkt ook dat ze zo'n dingen liever verbergen dan oplossen.
Nu is mijn vraag vooral, wat kan ik nog ondernemen?
Je zou kunnen stellen dat ik de dienst dan maar niet meer moet gebruiken. Probleem is dat het geintegreerd is en niet uit te schakelen valt.
Plus dat dat andere gebruikers die van deze slordigheid niet op de hoogte zijn nog niet helpt.
code:
1
| https://www.mijndienst.be/serivce?username=naam&password=geheim |
Het is overigens wel een https URL dus de body is wel encrypted maar aangezien alles gewoon in de URL te zien is kan iedereen die toegang heeft tot de requests op dat netwerk heel gemakkelijk aan die informatie.
Ik heb dit gemeld bij het bedrijf maar heb geen reactie gekregen. Ze zijn duidelijk niet van plan om dit aan te passen of zelfs maar de melding serieus te nemen. Uit andere ervaringen met dat bedrijf blijkt ook dat ze zo'n dingen liever verbergen dan oplossen.
Nu is mijn vraag vooral, wat kan ik nog ondernemen?
Je zou kunnen stellen dat ik de dienst dan maar niet meer moet gebruiken. Probleem is dat het geintegreerd is en niet uit te schakelen valt.
Plus dat dat andere gebruikers die van deze slordigheid niet op de hoogte zijn nog niet helpt.
:strip_icc():strip_exif()/u/291410/crop66a0f4f85bf75_cropped.jpg?f=community)
/u/57387/claimedavatar-70.png?f=community){kind=avatar}