Toon posts:

Wachtwoord zichtbaar URL query parameters gemeld & genegeerd

Pagina: 1
Acties:

Anoniem: 478829

Topicstarter
Ik gebruik een dienst waarvan me opgevallen was dat de gebruikersnamen en wachtwoorden in plain text in de URL staan als query parameters. Dus bijvoorbeeld als volgt:

code:
1
https://www.mijndienst.be/serivce?username=naam&password=geheim


Het is overigens wel een https URL dus de body is wel encrypted maar aangezien alles gewoon in de URL te zien is kan iedereen die toegang heeft tot de requests op dat netwerk heel gemakkelijk aan die informatie.

Ik heb dit gemeld bij het bedrijf maar heb geen reactie gekregen. Ze zijn duidelijk niet van plan om dit aan te passen of zelfs maar de melding serieus te nemen. Uit andere ervaringen met dat bedrijf blijkt ook dat ze zo'n dingen liever verbergen dan oplossen.

Nu is mijn vraag vooral, wat kan ik nog ondernemen?

Je zou kunnen stellen dat ik de dienst dan maar niet meer moet gebruiken. Probleem is dat het geintegreerd is en niet uit te schakelen valt.

Plus dat dat andere gebruikers die van deze slordigheid niet op de hoogte zijn nog niet helpt.

  • Tom-Z
  • Registratie: Augustus 2010
  • Laatst online: 00:13
Anoniem: 478829 schreef op zaterdag 6 maart 2021 @ 08:48:
Het is overigens wel een https URL dus de body is wel encrypted maar aangezien alles gewoon in de URL te zien is kan iedereen die toegang heeft tot de requests op dat netwerk heel gemakkelijk aan die informatie.
HTTPS is gewoon HTTP maar dan over TLS. De hele request, dus inclusief de headers wordt geëncrypt. Dus nee, die parameters in de URL zijn ook gewoon afgeschermd.

Acties:
  • +3Henk 'm!

  • _JGC_
  • Registratie: Juli 2000
  • Nu online
Tom-Z schreef op zaterdag 6 maart 2021 @ 09:14:
[...]

HTTPS is gewoon HTTP maar dan over TLS. De hele request, dus inclusief de headers wordt geëncrypt. Dus nee, die parameters in de URL zijn ook gewoon afgeschermd.
Maar worden vervolgens wel plaintext in de webserver accesslogs opgeslagen omdat het in de URL staat. Wachtwoord lekt ook gewoon via javascript naar eventuele trackers zoals Google Analytics.

  • Tom-Z
  • Registratie: Augustus 2010
  • Laatst online: 00:13
_JGC_ schreef op zaterdag 6 maart 2021 @ 09:29:
[...]

Maar worden vervolgens wel plaintext in de webserver accesslogs opgeslagen omdat het in de URL staat. Wachtwoord lekt ook gewoon via javascript naar eventuele trackers zoals Google Analytics.
Ik ben het met je eens dat het niet fraai is. Misschien kan TS melding doen bij de AP? Maar ik denk niet dat die gaan ingrijpen voor zoiets.

Acties:
  • +1Henk 'm!

  • Yorinn
  • Registratie: Februari 2009
  • Niet online

Yorinn

Moderator General Chat

After Hours 'til Dawn

Modbreak:Dit is meer een onderwerp voor PB dan voor AZ, daarom schop ik het topic ook die kant op.

| After Hours | Dawn FM | After Life | Tweakers Discord |


  • DJMaze
  • Registratie: Juni 2002
  • Niet online
Misschien kan je het hier melden?
https://cert.be/nl/een-incident-melden-form

Maak je niet druk, dat doet de compressor maar


Anoniem: 478829

Topicstarter
Bedankt voor de tips. Ga kijken of ik daar kan melden inderdaad.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee