Bijzonder lelijk: wachtwoord in URL bij wijzigen profiel - Geachte redactie

zondag 29 september 2002 16:42

Acties:

Up up up!

Topicstarter

Als ik op de FP mijn profiel wil wijzigen en ik log in dan krijg ik dit als URL te zien:

http://www.tweakers.net/m...=Korakal&Password=xxxxxxx

Op de plek waar de xxxxx staan staat mijn wachtwoord dan gewoon onmaskeerd.
Bijzonder lelijk en ik zou ook voorstellen om hier een andere oplossing voor te kiezen...

zondag 29 september 2002 17:06

Acties:

4AMD

Wie ziet dat nou? Of zit je altijd samen met iemand anders op je scherm te kijken?

zondag 29 september 2002 17:08

Acties:

The Bad Seed

Chaotic since 1983

hedskes schreef op 29 september 2002 @ 17:06:
Wie ziet dat nou? Of zit je altijd samen met iemand anders op je scherm te kijken?

In verschilleden proxy-software/netmonitor producten blijven alle opgevraagde urls opgeslagen.

Hail to the guardians of the watchtowers of the north

zondag 29 september 2002 18:15

Acties:

The - DDD

Wat boeit het? Wordt pas leip als de wachtwoorden over een HTTPS of SSL verbinding gaan. Dan zou het een veiligheids probleem kunnen zijn. Echter alles gaat clear text, dus dat je wachtwoord zichtbaar is op je beeldscherm: Boeien. Pak een willekeurige protocol sniffer en je kan zo zien welke wachtwoorden bij welke naam horen.

Het zou sowieso wat anders zijn als tweakers bedrijfskritische zaken zou doen. Ik neem aan dat de crew ook inlog (d/t ?) middels een encrypted verbinding. Ik zou ze volledig voor gek verklaren als ze dat niet zouden doen, want wat zij doen met de FP en GOT is wel bedrijfskritisch lijkt me.

zondag 29 september 2002 18:18

Acties:

Wouter Tinus

Whee!

Zou idd. netter zijn met een cookie ofzo

. En nee, de crew gebruikt geen encrypted verbinding

. De dsp was vroeger wel https, maar nu niet meer. Weet eik niet waarom

.

Professioneel Hyves-weigeraar

zondag 29 september 2002 18:26

Acties:

The - DDD

Wouter Tinus schreef op 29 september 2002 @ 18:18:
... En nee, de crew gebruikt geen encrypted verbinding ....

Jullie zijn gek!!

Maar serieus, ik zou het er toch maar is over hebben op de eerstvolgende vergadering.

zondag 29 september 2002 18:29

Acties:

Wouter Tinus

Whee!

Mja, maar dan heb je straks een 1024 bit encrypted verbinding terug (die we vorig jaar ofzo nog hadden), en dan mailen we nog steeds de wachtwoorden rond, waarbij ze dus ook plaintekst over het net gaan

.

Professioneel Hyves-weigeraar

zondag 29 september 2002 19:18

Acties:

TheGhost

das nog altijd beter dan dat een of andere gefrustreerde tweaker de boel platlegt doordat ie zo makkelijk aan een wachtwoord kan/kon komen...

I'm not weird, I'm a limited edition

zondag 29 september 2002 19:28

Acties:

Wouter Tinus

Whee!

Makkelijk? Je moet toch wel ergens tussen het crewlid en de server een packetsniffer weten te planten. Er zijn makkelijker manieren om de site te vervelen

.

Professioneel Hyves-weigeraar

zondag 29 september 2002 19:28

Acties:

Korakal

Up up up!

Topicstarter

Mijn bezwaren zijn inderdaad:
* opgeslagen history (van proxy en met name) lokaal
* meekijken

't maakt mij verder niet uit hoe zo'n wachtwoord verzonden wordt (ongecodeerd) en of dit met een sniffer of whatever te achterhalen is; maar de manier die nu gebruikt wordt hoeft je ook maar geen seconde moeite voor te doen om 't te zien!

zondag 29 september 2002 19:33

Acties:

Verwijderd

Wouter Tinus schreef op 29 september 2002 @ 18:18:
Zou idd. netter zijn met een cookie ofzo . En nee, de crew gebruikt geen encrypted verbinding . De dsp was vroeger wel https, maar nu niet meer. Weet eik niet waarom .

nou is het niet hebben van een encrypted verbinding niet zo erg... maar het al die users hier dat laten weten lijkt me nou toch niet echt handig ...

zondag 29 september 2002 19:35

Acties:

Wouter Tinus

Whee!

Verwijderd schreef op 29 september 2002 @ 19:33:
nou is het niet hebben van een encrypted verbinding niet zo erg... maar het al die users hier dat laten weten lijkt me nou toch niet echt handig ...

Als zo'n user kwaadwillend is en genoeg kennis heeft om gevaarlijk te zijn dan komt ie daar zelf ook binnen een paar seconden achter

.

Professioneel Hyves-weigeraar

maandag 30 september 2002 18:43

Acties:

Verwijderd

Wouter Tinus schreef op 29 september 2002 @ 19:35:

[...]

Als zo'n user kwaadwillend is en genoeg kennis heeft om gevaarlijk te zijn dan komt ie daar zelf ook binnen een paar seconden achter .

tuurlijk...maar je moet geen slapende honden wakkermaken

dinsdag 1 oktober 2002 15:12

Acties:

Falcon

DevOps/Q.A. Engineer

Hallo tweakers.net, wees even professioneel. Ik heb er zelf ook problemen mee. Het zelfde is me opgevallen toen altavista nog mail dienst hadden. Dit is gewoon iets waar IK (klant is koning toch?) wel degelijk problemen mee heb.

Misschien is het mogelijk om hier enigzins serieus op te reageren?

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

dinsdag 1 oktober 2002 15:40

Acties:

Reacher

oldschool

The Real Falcon schreef op 01 oktober 2002 @ 15:12:
Hallo tweakers.net, wees even professioneel. Ik heb er zelf ook problemen mee. Het zelfde is me opgevallen toen altavista nog mail dienst hadden. Dit is gewoon iets waar IK (klant is koning toch?) wel degelijk problemen mee heb.

Misschien is het mogelijk om hier enigzins serieus op te reageren?

"(klant is koning toch?) "

Je betaald toch nog nergens voor?

but I don't like you in that way
the best things in life are illegal
born to do porn!

dinsdag 1 oktober 2002 15:43

Acties:

TheDjasp

het wordt toch niks

Dit is gewoon iets waar IK wel degelijk problemen mee heb.

$_/-\o_$ $_/-\o_$ $_/-\o_$ $_/-\o_$

Misschien is het mogelijk om hier enigzins serieus op te reageren?

Nee

Sorry, maar ik kon het niet laten. De post van de Echte Valk getuigde van een bepaald soort arrogantie waar ik een beetje onaangenaam van wordt en wel dat mensen veel te snel denken overal recht op denken te hebben.

Allereerst, zoals Reacher al treffend zegt, zolang je (nog) nergens voor hoeft te betalen heb je geen rechten, enkel plichten. Er is niemand die je dwingt gebruik te maken van Tweakers.net, en op hoge toon eisen dat er iets aan gedaan wordt, is tja.. ietwat misplaatst.

Volgende keer gewoon lief vragen. Werkt vééél beter.

[ Voor 0% gewijzigd door TheDjasp op 01-10-2002 15:53 . Reden: nuances, nuances.. ]

Omdat het KAN, HOEFT het nog niet!
I haven't been ignoring you; I've been prioritizing you. Hanglooz; "chromeless windows en fullscreen zuigen allebei als een 1600Watt Nilfisk"
logt nu ook

dinsdag 1 oktober 2002 16:05

Acties:

[ti]

En als je nou vanaf de volgende pagina naar 'n link klikt die niet op t.net zit? Juist, dan komt het wachtwoord (met de t.net url) in de referrer log van de volgende server. Nietzohandigdushe

dinsdag 1 oktober 2002 16:08

Acties:

Korakal

Up up up!

Topicstarter

TheDjasp schreef op 01 oktober 2002 @ 15:43:
[...]
Volgende keer gewoon lief vragen. Werkt vééél beter.

_{Bij deze dan}

$_/-\o_$ T W E A K E R S . N E T $_/-\o_$

kan er een gruwelijk onopvallende maskerade plaats vinden van deze door openbaarheid getartte paswoorden?

$_/-\o_$ u alvast eeuwig dankbaar $_/-\o_$

* Korakal

dinsdag 1 oktober 2002 16:23

Acties:

Femme

Hardwareconnaisseur

Official Jony Ive fan

Dat formulier gebruikt de GET methode omdat er dan direct vanuit de registratie mailtjes gelinkt kan worden met de profiel pagina. Omdat het nadrukkelijk de bedoeling is dat men dan zijn/haar password wijzigt is er geen sprake van een beveiligingsprobleem.

Voor mensen die via allerlei omwegen bij de profiel edit pagina komen zonder eerst ingelogd te zijn is het inderdaad wel een beveiligingsprobleem. Het formulier gebruikt nu de POST methode.

dinsdag 1 oktober 2002 16:31

Acties:

Korakal

Up up up!

Topicstarter

Femme schreef op 01 oktober 2002 @ 16:23:
Dat formulier gebruikt de GET methode omdat er dan direct vanuit de registratie mailtjes gelinkt kan worden met de profiel pagina. Omdat het nadrukkelijk de bedoeling is dat men dan zijn/haar password wijzigt is er geen sprake van een beveiligingsprobleem.

Voor mensen die via allerlei omwegen bij de profiel edit pagina komen zonder eerst ingelogd te zijn is het inderdaad wel een beveiligingsprobleem. Het formulier gebruikt nu de POST methode.

$_/-\o_$ danku, danku $_/-\o_$

_{(dat was het dus, ik had veel eerder moeten gebruiken - met dank aan TheDjasp voor de tip....)}

[ Voor 0% gewijzigd door Korakal op 01-10-2002 16:31 . Reden: typo ]

woensdag 2 oktober 2002 12:31

Acties:

Falcon

DevOps/Q.A. Engineer

Was niet arrogant bedoeld.. maar ik vond dat sommige crew members nog al niet serieus reageerde op een probleem van een user. Misschien komt het verkeerd over... maar goed dat zul je toch houden met "plain text"

Femme hartelijk bedankt voor de uitleg!...

*Case Closed*

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"