Belachelijk veel sessies bij uitloggen.

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Hey,

Ik zou daarnet ff uitloggen en het viel me op dat er kei veel sessies open staan :?

edit:
Pic gewist


Is dit normaal, of is er meer aan de hand?

[ Voor 21% gewijzigd door Dennahz op 28-12-2002 23:17 ]

Twitter


Acties:
  • 0 Henk 'm!

  • Teckna
  • Registratie: Mei 2002
  • Laatst online: 09-06 14:48
voor iedere keer dat je bent ingelogt zal dit hier staan,
als je een keer op uitloggen op alle computers aanvinkt zijn ze allemaal weg

edit:overigens geld dit ook voor iedere keer dat je jouw coockies hebt weggegooit, en opnieuw bent ingelogt. (de vetgedrukte is jouw actieve sessie)

[ Voor 39% gewijzigd door Teckna op 28-12-2002 22:34 ]


Acties:
  • 0 Henk 'm!

  • Compubiter
  • Registratie: Oktober 2001
  • Laatst online: 21-08-2023

Compubiter

Think again

Aan de data te zien nog een hoop cookies van voor React, die zijn dus al tijden niet meer gebruikt. Er zijn dus maar 4 relevante cookies, die gebruikt zijn in de afgelopen tijd. Wellicht was het op school ofzo?

Gewoon "Uitloggen op alle computers behalve deze doen" en je probleem is opgelost :P.

Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb er veeel meer :X
En luister naar Teckna zou ik zeggen :)

Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

nee, die uit '1970' zijn van voor react 1.7 (1.6 vermelde nog geen last visit bij je sessies).

Verder maakt het geen drol uit :)

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 14:26
mmm ik heb er hier nog 40 open staan... (als het er niet meer zijn)

A wise man's life is based around fuck you


Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Ah, dus het is niks om me druk over te maken. Heb inderdaad op stage ingelogd.
Tnx! :)

Twitter


Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
BrEeZer, als ik jou was zou ik dat plaatje even weghalen. (of al je sessies uitloggen)
Deze post geeft aan waarom!

Groet, Operations*

(* ik weet het, geen groeten, maar ik geef alleen even aan wie dit echt is)

Twitter


Acties:
  • 0 Henk 'm!

  • SambalBij
  • Registratie: September 2000
  • Laatst online: 13:28

SambalBij

We're all MAD here

Weer ingelogd als mezelf.
Zoals je ziet, dat ReactID is in feite je aanmelding. Door dat plaatje te posten kan iemand anders misbruik maken van je account!! (Wat ik uiteraard, behalve bovenstaande post ter illustratie, niet heb gedaan!)

Sometimes you just have to sit back, relax, and let the train wreck itself


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

ik heb ze allemaal uit de DB weggegooid :)
breezer, het is dus nu 'correct' dat je bent uitgelogd :P

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • SambalBij
  • Registratie: September 2000
  • Laatst online: 13:28

SambalBij

We're all MAD here

:)

Is dit overigens geen groot beveiligingsgat? Het opslaan van dat ID in een cookie, wat met alle beveiligingsgaten e.d. in internet explorer ook vanaf andere sites opgevraagd zou kunnen worden?

Sometimes you just have to sit back, relax, and let the train wreck itself


Acties:
  • 0 Henk 'm!

Verwijderd

Operations schreef op 28 december 2002 @ 23:02:
:)

Is dit overigens geen groot beveiligingsgat? Het opslaan van dat ID in een cookie, wat met alle beveiligingsgaten e.d. in internet explorer ook vanaf andere sites opgevraagd zou kunnen worden?
Wat wou je dan opslaan in een cookie username en password 8)7.

Tuurlijk kun je een cookie jatten en gebruiken, daarvoor is er een iplock (alleen vast ip). En verder moet je als gebruiker gewoon verantwoordelijk omgaan met je eigen gegevens. En als je een variabel ip hebt gewoon uitloggen als je een tijdje geen gebruik gaat maken van het forum.

Het veiligste imo is het opslaan van een sleutel met md5 hash o.i.d. en dat vergelijken in de database. En dan pas de usergegevens gaan ophalen.

Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
BrEeZeR schreef op 28 December 2002 @ 22:52:
BrEeZer, als ik jou was zou ik dat plaatje even weghalen. (of al je sessies uitloggen)
Deze post geeft aan waarom!

Groet, Operations*

(* ik weet het, geen groeten, maar ik geef alleen even aan wie dit echt is)
Heb het plaatje direct gewist, maar is dit niet een beetje onveilig? Dat session ID staat waarschijnlijk ook ergens in een koekje ?

Bedankt dat je het ff hebt laten zien en Chem, bedankt voor het resetten van de sessies. :)

Twitter


Acties:
  • 0 Henk 'm!

  • SambalBij
  • Registratie: September 2000
  • Laatst online: 13:28

SambalBij

We're all MAD here

Dat session id staat inderdaad ook in een cookie. Zo kon ik ook onder jouw naam posten. In het cookie van m'n browser mijn eigen reactid vervangen voor eentje uit jouw lijstje, et voila, ik ben ingelogd onder jouw naam :)

Sometimes you just have to sit back, relax, and let the train wreck itself


Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Operations schreef op 28 december 2002 @ 23:29:
Dat session id staat inderdaad ook in een cookie. Zo kon ik ook onder jouw naam posten. In het cookie van m'n browser mijn eigen reactid vervangen voor eentje uit jouw lijstje, et voila, ik ben ingelogd onder jouw naam :)
Zoeits dacht ik al inderdaad. In principe is dat best onveilig of zie ik dat verkeerd ?

Twitter


Acties:
  • 0 Henk 'm!

  • Daniel
  • Registratie: Juli 1999
  • Laatst online: 01-10 16:54

Daniel

Kapitein NCC-1701
BrEeZeR schreef op 28 december 2002 @ 23:32:
[...]


Zoeits dacht ik al inderdaad. In principe is dat best onveilig of zie ik dat verkeerd ?


Dat valt mee, want alleen met je eigen account kun je die sessie-ID's zien. Iemand zonder toegang tot dat account kan niet achter je sessie-ID komen.

Acties:
  • 0 Henk 'm!

  • Genghis Khan
  • Registratie: September 2001
  • Niet online
Bij die sessies staat ook IP (Optioneel), maar dan dus een leeg vakje. Hoe zet je dat aan?

Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Daniel schreef op 28 December 2002 @ 23:37:

[...]


Dat valt mee, want alleen met je eigen account kun je die sessie-ID's zien. Iemand zonder toegang tot dat account kan niet achter je sessie-ID komen.
Maar stel dat iemand je cookie bemachtigd (bijvoorbeeld op school als er op elke hdd shares staan) dan is het eventueel mogelijk om misbruik te maken van mijn account?

Twitter


Acties:
  • 0 Henk 'm!

  • Compubiter
  • Registratie: Oktober 2001
  • Laatst online: 21-08-2023

Compubiter

Think again

KaAzKoP schreef op 28 december 2002 @ 23:39:
Bij die sessies staat ook IP (Optioneel), maar dan dus een leeg vakje. Hoe zet je dat aan?
Tijdens het inloggen dit vinkje omzetten: "Hiermee legt u uw sessie vast aan uw IP. Gebruik dit alleen als u een vast IP heeft." :).

Acties:
  • 0 Henk 'm!

  • Genghis Khan
  • Registratie: September 2001
  • Niet online
Compubiter schreef op 29 December 2002 @ 00:01:
[...]
Tijdens het inloggen dit vinkje omzetten: "Hiermee legt u uw sessie vast aan uw IP. Gebruik dit alleen als u een vast IP heeft." :).
Aha, maar als ik dat dus doe kan ik maar op 1 PC inloggen?

Acties:
  • 0 Henk 'm!

  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

Nee, dan kan iemand die achter jouw ReactID is gekomen (zoals hierboven) niet vanaf een ander IP van jouw session gebruik maken. Alleen _die_ session wordt aan dat IP vastgespijkerd.

[ Voor 3% gewijzigd door Jordi op 29-12-2002 00:30 ]

Het zal wel niet, maar het zou maar wel.


Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Jotti schreef op 29 december 2002 @ 00:29:
Nee, dan kan iemand die achter jouw ReactID is gekomen (zoals hierboven) niet vanaf een ander IP van jouw session gebruik maken. Alleen _die_ session wordt aan dat IP vastgespijkerd.
Ik ga het meteen ff doen.. :), maar dan is het probleem zoals hierboven beschreven (@ school) nog niet opgelost..

Of zie ik het verkeerd.

[ Voor 3% gewijzigd door Dennahz op 29-12-2002 00:43 ]

Twitter


Acties:
  • 0 Henk 'm!

Verwijderd

Iemand met toegang tot je cookies directory kan jouw login gebruiken, of iemand die weet welke informatie er in je cookie staat. Als er al ergens een beveiligingslek zou zitten, dan is het niet daar.

Wil je gegarandeerde veiligheid, en ook de gebruiker beschermen tegen zichzelf, dan zou je alleen informatie in een session cookie kunnen opslaan, wat betekent dat de informatie slechts in het geheugen van de browser bestaat, en niet op de harddisk.

Dat wil je eigenlijk alleen bij echt belangrijke applicaties, denk aan het inloggen op een intranet met informatie die niet voor iedereen beschikbaar mag zijn, of telebankieren bijvoorbeeld. Dan zit je aan een heel ander niveau van beveiligen te denken.

Op de manier zoals het nu gaat, is het redelijk veilig, als de begruiker zelf op zijn spullen let. Dus hij moet zorgen dat er niet iemand van zijn PC op het forum komt, en zorgen dat hij niet zo onverstandig is om zijn ReactID te posten ;)

Ik denk niet dat React veel meer kan doen wat betreft veiligheid van useraccounts, zonder het ongemakkelijk en vervelend te maken voor de users. Het is tenslotte onhandig als je iedere keer je wachtwoord zou moeten intypen als je een nieuw browservenster opent.

Mocht er dus iets mislopen met een useraccount, dan is er een grote kans dat hij het zelf heeft veroorzaakt.

En zorg er dus ook voor dat je je cookies niet shared ;)

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

BrEeZeR schreef op 29 december 2002 @ 00:43:
[...]


Ik ga het meteen ff doen.. :), maar dan is het probleem zoals hierboven beschreven (@ school) nog niet opgelost..

Of zie ik het verkeerd.
Nee idd dat probleem blijft, belachelijk dat ze op jouw school überhaupt shares hebben :?

Overigens blijft het inloggen altijd onveilig. Het nemen van een abo zal ik ook nooit doen als er bij het inloggen geen SSL-verbinding wordt gebruikt (of is die optie er al?)

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

Verwijderd

LauPro schreef op 29 December 2002 @ 00:49:
[...]
Nee idd dat probleem blijft, belachelijk dat ze op jouw school überhaupt shares hebben :?

Overigens blijft het inloggen altijd onveilig. Het nemen van een abo zal ik ook nooit doen als er bij het inloggen geen SSL-verbinding wordt gebruikt (of is die optie er al?)

Dan verwacht ik zometeen wel een kort betoog over waarom Gathering of Tweakers dat zou willen doen. :) Welke gegevens zijn er zo belangrijk dat het van belang is dat geen sniffer het kan ontcijferen? Wil je bovendien dat er een geldig certificaat komt? Weet je wat dat kost? En dan nog, zelfs dan krijgt de gebruiker een nare popup in zijn scherm.

SSL is leuk voor allerlei dingen, maar ik denk dat het voor een forum tever zou gaan.

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Verwijderd schreef op 29 December 2002 @ 00:57:

[...]

Dan verwacht ik zometeen wel een kort betoog over waarom Gathering of Tweakers dat zou willen doen. :) Welke gegevens zijn er zo belangrijk dat het van belang is dat geen sniffer het kan ontcijferen? Wil je bovendien dat er een geldig certificaat komt? Weet je wat dat kost? En dan nog, zelfs dan krijgt de gebruiker een nare popup in zijn scherm.

SSL is leuk voor allerlei dingen, maar ik denk dat het voor een forum tever zou gaan.
Ik heb het ook alleen over de betaalde account en al sowieso voor de logins van admins en 'modjes'. Stel je voor dat er een mod-account wordt 'gesloten'...

Als iemand een abo neemt dan betaald die voor extra functies, gekoppeld aan het account. Het lijkt mij dan ook meer dan redelijk dat dit (op z'n minst het inloggen) via SSL gaat. En dan hoeft dat echt niet een 1024 bits beveiliging te zijn, 128 bits is al (meer dan) zat, want zoals je al zei 'is dit maar een forum'. Als het wachtwoord relatief _zo_ eenvoudig kan worden achterhaald (bijvoorbeeld lan-parties) dan is dat gewoon in mijn ogen onacceptabel (als je dan daarvoor (die extra functies) betaald hebt heb ik het over hè).

Even een voorbeeld: stel een 'modje' is op een lan, er staat daar - zonder dat hij het weet - een router die vanalles kan loggen (en ja, die router verzorgt zijn internet-verbinding). Men maakt daar misbruik van en terwijl hij inlogt (ik neem ff aan dat hij dit ook zal doen op lan-parties) wordt zijn wachtwoord geflusht (of zijn react-id). De gevolgen zijn dan niet te voorzien. Met een SSL-verbinding heb je dit iig kunnen beperken.

Ik zou die bedragen van zo'n (geldig) certificaat wel is willen zien. Ik heb er zelf geen ervaring met het installeren (?) van zo'n certificaat maar het lijkt me dat dat hoogstens een paar honderd Euro kost. Als je kijkt naar het aantal gebruikers dan lijkt mij dit helemaal niks (maar correct me if i'm wrong). Je moet het niet zien als een bijzaak maar meer als een noodzaak.
offtopic:
Oei je zei *kort* betoog :X :P

[ Voor 8% gewijzigd door LauPro op 29-12-2002 01:14 ]

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Nee idd dat probleem blijft, belachelijk dat ze op jouw school überhaupt shares hebben
Het is daar totaal niet beveiligd, Windows 98 op de werkstations.. dus shares zijn snel gemaakt.

Twitter


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

BrEeZeR schreef op 29 december 2002 @ 01:14:
[...]


Het is daar totaal niet beveiligd, Windows 98 op de werkstations.. dus shares zijn snel gemaakt.
Dat ze (je :X) dat überhaupt nog een werkstation noemen :X. Welke school zit je overigens? Ik ga stage lopen bij een school waarbij ze allemaal met-Windows 98-uitgeruste computers hebben staan. Net zo erg dus :'(

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

Verwijderd

Om eerlijk te zijn vind ik dat die moderator op een LAN daar zelf voor verantwoordelijk is. Voor de echte admin functies zou je anders nog steeds een ander wachtwoord moeten hebben. Maar inderdaad, als iemand het wachtwoord van een moderator te pakken krijgt, dan kan diegene er vervelende dingen mee doen. Toch gebeurt het niet zo gauw, en zelfs dan ligt het er maar net aan wat de intenties zijn van degene die het wil misbruiken.

Er zijn heus wel wat beveiligingslekjes geweest, waarvan de meesten zijn gevonden door mensen die het niet kwaad bedoelen. Maar ik denk niet dat SSL certificaten een onmisbare meerwaarde zullen leveren. Overigens ligt de prijs van zo'n certificaat volgens mij doorgaans tussen de 250 en 750 dollar per stuk (per server dus), afhankelijk van de grootte van de sleutel.

Ik denk ook niet dat er uberhaupt serieus overwogen wordt om SSL te gaan gebruiken, voordat er een situatie is ontstaan waarin iemand anders dan door zijn eigen toedoen in zo'n situatie terechtkomt, dat zijn account kan worden misbruikt. En dan nog zal het waarschijnlijk om iemand van de crew moeten gaan, inderdaad.

Maar vooralsnog kunnen we wat mij betreft wel vertrouwen hebben in zowel software als users :)

Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
LauPro schreef op 29 december 2002 @ 01:16:
[...]
Dat ze (je :X) dat überhaupt nog een werkstation noemen :X. Welke school zit je overigens? Ik ga stage lopen bij een school waarbij ze allemaal met-Windows 98-uitgeruste computers hebben staan. Net zo erg dus :'(
Tja, je kan er op werken, maar daar is ook alles mee gezegd.. :X

Ik zit op de Friese Poort in Leeuwarden..

Twitter


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Verwijderd schreef op 29 december 2002 @ 01:25:
Om eerlijk te zijn vind ik dat die moderator op een LAN daar zelf voor verantwoordelijk is. Voor de echte admin functies zou je anders nog steeds een ander wachtwoord moeten hebben. Maar inderdaad, als iemand het wachtwoord van een moderator te pakken krijgt, dan kan diegene er vervelende dingen mee doen. Toch gebeurt het niet zo gauw, en zelfs dan ligt het er maar net aan wat de intenties zijn van degene die het wil misbruiken.
Dat klinkt leuk 'zelf verantwoordelijk zijn'. Even een kleine notitie: ik ken iemand die het is gelukt dmv het rechtstreeks te scannen van zijn 'Chello-lijn' gesprekken (via MSN Messenger) van iemand verderop in de straat af te luisteren. Het lijkt mij niet dat alle modjes en admins, newsposters etc een SSH-verbinding hebben met t.net oid. Hoe ver zie jij dan die verantwoordelijkheid?
Er zijn heus wel wat beveiligingslekjes geweest, waarvan de meesten zijn gevonden door mensen die het niet kwaad bedoelen. Maar ik denk niet dat SSL certificaten een onmisbare meerwaarde zullen leveren.
Hoezo? Dit begrijp ik even niet :?. Het instellen van het scannen op 'Cheatah' bij zo'n packetscanner is echt niet moeilijk hor. Ik geloof best dat dit geval waar ik het nu over hebt zeer weinig zal voorkomen maar áls het dan een keer voorkomt binnen nu en 3 jaar (die weddenschap wil ik wel met jou aangaan ;)) dan moet je opeens zien hoeveel aandacht er wordt geschonken aan dit soort beveiliging.
Overigens ligt de prijs van zo'n certificaat volgens mij doorgaans tussen de 250 en 750 dollar per stuk (per server dus), afhankelijk van de grootte van de sleutel.
Dus voor (ik ga even uit van) 300 Dollar willen jullie niet de extra zekerheid hebben om bijvoorbeeld het admin-gedeelte te beveiligen? Ik zou zelf oppassen met dit soort 'bezuinigingen'. Ga ik even uit van een extreem scenario (ben ik wel goed ik geloof ik :P): iemand komt om een mannier achter wachtwoord van een admin. De admin in kwestie upload een stylesheet via ftp (of via http, doet er even niet toe) en ook dan wordt er een wachtwoord opgevangen waarmee access kan worden verkregen tot het uploaden van scripts. Ik verwijd jullie niks maar over het algemeen zijn veel wachtwoorden hezelfde :P. Iemand kan op deze wijze servers 'beheren' etc etc.

Vergeet niet dat tweakers.net (mijn verhaal geldt ook voor de fp) een echt bedrijf is. Persoonlijk zou ik gewoon niet het risico nemen dat men gewoon zonder dat je het zelf door hebt dat men je wachtwoorden achterhaald. Nu kan je mijn site erbij halen; dan zeg ik er even bij dat ik een 'dynamisch' wachtwoord heb ;) (misschien idee voor t.net?)
Ik denk ook niet dat er uberhaupt serieus overwogen wordt om SSL te gaan gebruiken, voordat er een situatie is ontstaan waarin iemand anders dan door zijn eigen toedoen in zo'n situatie terechtkomt, dat zijn account kan worden misbruikt. En dan nog zal het waarschijnlijk om iemand van de crew moeten gaan, inderdaad.
Nu ontstaat er een lichte grijns op mijn gezicht (:o). En aantal maand of 5 geleden van het mergen van GoT en de FP _totaal_ uit den boze. Ik kan zo 5 admins/mods quoten die dat hebben gezegt! (en ja, ook op de toon zoals je het nu zegt ;)) Laat ik nu laatst het bericht hebben gelezen dat dit toch gaat gebeuren ( _/-\o_ btw).
Maar vooralsnog kunnen we wat mij betreft wel vertrouwen hebben in zowel software als users :)
Dat geloof ik best, maar er zijn altijd mensen die het verpesten en achteraf met het excuus komen van 'ja maar wat er nu gebeurt is komt zelden voor' komt toch wat onprofessioneel over ;).
BrEeZeR schreef op 29 december 2002 @ 01:44:
[...]
Tja, je kan er op werken, maar daar is ook alles mee gezegd.. :X

Ik zit op de Friese Poort in Leeuwarden..
Ik heb dezelfde ervaring idd, ik ga nu wat offtopic maar wat hebben scholen toch met Windows 98 en Novell :?.

[ Voor 8% gewijzigd door LauPro op 29-12-2002 02:23 ]

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb veel ernstigere veiligheidsrisico's gevonden in tal van webapplicaties, zoals dit forum (React), maar ook het vorige (Topix), de T.net frontpage, en grote projecten als phpBB, YaBB, vBulletin, de forumsoftware van Anandtech, en het had niets uitgemaakt of er gebruik werd gemaakt van SSL of niet.

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Verwijderd schreef op 29 December 2002 @ 02:33:
Ik heb veel ernstigere veiligheidsrisico's gevonden in tal van webapplicaties, zoals dit forum (React), maar ook het vorige (Topix), de T.net frontpage, en grote projecten als phpBB, YaBB, vBulletin, de forumsoftware van Anandtech, en het had niets uitgemaakt of er gebruik werd gemaakt van SSL of niet.
Dat geloof ik best ;). Ik ga er ook min of meer van uit dat er geen beveiligingenslekken in React. Waar ik het over heb is eigenlijk helemaal dit topic niet :P maar ik vind dit geen item waarvan je kan zeggen dat het niet noodzakelijk is. (en in mjin ogen is t.net geen 'hobby' meer dus maar echt een professioneel bedrijf)

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

Het sessie-id verhaal is gebaseerd op het idee dat de sleutel dermate groot is dat het ondoenlijk is alle sleutels te testen op werking. Maw, alleen brute-force kan je erachter komen.
Daar komt bij dat vrijwel alle modjes hun session op IP hebben gelocked neem ik aan.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

Verwijderd

Zoals ik al zei, veiligheid begint bij jezelf :P, oe wat zijn we weer wijs. Serieus, je moet gewoon verantwoordelijk omgaan met je eigen account en gegevens heb je geen vast ip denk er dan gewoon op dat je uitlogd als je een tijd geen gebruik gaat maken van de website en zorg dat je je pc goed beveiligd hebt. Daar kan GoT natuurlijk niet verantwoordelijk voor zijn.

Acties:
  • 0 Henk 'm!

  • Dennahz
  • Registratie: November 2001
  • Laatst online: 14:51

Dennahz

Life feels like hell should.

Topicstarter
Verwijderd schreef op 29 december 2002 @ 13:43:
Zoals ik al zei, veiligheid begint bij jezelf :P, oe wat zijn we weer wijs. Serieus, je moet gewoon verantwoordelijk omgaan met je eigen account en gegevens heb je geen vast ip denk er dan gewoon op dat je uitlogd als je een tijd geen gebruik gaat maken van de website en zorg dat je je pc goed beveiligd hebt. Daar kan GoT natuurlijk niet verantwoordelijk voor zijn.
Dat is inderdaad zo, heb direct ff deze sessie op mijn ip vast laten leggen. Al kan niemand op mijn pc komen van buitenaf.. :)

Veiligheid voor alles.. ;)

[ Voor 3% gewijzigd door Dennahz op 29-12-2002 13:47 ]

Twitter


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Toch gaat niemand in op mijn Chello-verhaaltje. Het is (soms) gewoon mogelijk om alle gegevens van je buurman(nen) af te luisteren.

Tot hoe ver valt dit dan tot je eigen 'verantwoordelijkheid'?

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

LauPro schreef op 29 december 2002 @ 18:35:
Toch gaat niemand in op mijn Chello-verhaaltje. Het is (soms) gewoon mogelijk om alle gegevens van je buurman(nen) af te luisteren.

Tot hoe ver valt dit dan tot je eigen 'verantwoordelijkheid'?
abuse@chello.nl

melden dus ;)
verder kan je hier @ got al je sessies afsluiten ;)

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Erkens schreef op 29 december 2002 @ 18:45:
[...]

abuse@chello.nl

melden dus ;)
verder kan je hier @ got al je sessies afsluiten ;)
Dit is mogelijk bij elk niet-switched netwerk (met hubs dus). Naar mijn weten werken nog veel COM21-modems gezamelijk als een 'HUB' (met de centrale zegmaar). Dit is een structueel probleem, en ook providers zoals @home kunnen dit hebben. De meeste bedrijven hebben niet eens het geld om dit te vervangen (aan te passen).

Dus nogmaals: hoe ver zie jij die verantwoordelijkheid?

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

LauPro schreef op 29 December 2002 @ 19:08:
[...]
Dit is mogelijk bij elk niet-switched netwerk (met hubs dus). Naar mijn weten werken nog veel COM21-modems gezamelijk als een 'HUB' (met de centrale zegmaar). Dit is een structueel probleem, en ook providers zoals @home kunnen dit hebben. De meeste bedrijven hebben niet eens het geld om dit te vervangen (aan te passen).

Dus nogmaals: hoe ver zie jij die verantwoordelijkheid?
in hoeverre heeft dit met de sessies @ got te maken :?

afluisteren mag gewoon niet volgens mij, maar zeker weet ik het niet, je dacht toch niet dat ik het wetboek uit mijn kop ken ofzo 8)7

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

Erkens schreef op 29 december 2002 @ 19:12:
[...]

in hoeverre heeft dit met de sessies @ got te maken :?

afluisteren mag gewoon niet volgens mij, maar zeker weet ik het niet, je dacht toch niet dat ik het wetboek uit mijn kop ken ofzo 8)7
Nee natuurlijk mag afluisteren niet :D. Maar het gaat er om dat iedereen hier maar zegt 'zelf verantwoordelijk voor je eigen account', terwijl je in feite nergens veilig gebruik kan maken van je account om dat jan en alleman alles kan achterhalen.

Hoe kan ik nu ergens verantwoordelijk voor zijn waar ik geen invloed op heb?

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

aangezien dit topic toch al nergens meer heen gaat: dat is jouw keuze, laupro. Als jij kiest voor een provider waar je gegevens ook via de buurman rondketsen, dan is dat jouw pakkie-an. Daar kan geen sessie/ip systeem tegenop. En een SSL is zwaar vertragend (als we het toch al over com21 hebben), dus dat wordt geen lolletje.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

LauPro schreef op 29 december 2002 @ 19:20:
[...]
Nee natuurlijk mag afluisteren niet :D. Maar het gaat er om dat iedereen hier maar zegt 'zelf verantwoordelijk voor je eigen account', terwijl je in feite nergens veilig gebruik kan maken van je account om dat jan en alleman alles kan achterhalen.

Hoe kan ik nu ergens verantwoordelijk voor zijn waar ik geen invloed op heb?
tuurlijk heb je daar invloed op: jij zit bij die provider, als die niets aan de situatie wilt doen, dan ga je toch naar een andere isp :?
uitloggen kan ook, en nooit inloggen ;)

Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

chem schreef op 29 December 2002 @ 19:46:
aangezien dit topic toch al nergens meer heen gaat: dat is jouw keuze, laupro. Als jij kiest voor een provider waar je gegevens ook via de buurman rondketsen, dan is dat jouw pakkie-an. Daar kan geen sessie/ip systeem tegenop. En een SSL is zwaar vertragend (als we het toch al over com21 hebben), dus dat wordt geen lolletje.
Het punt is alleen een beetje verdraaid. En hoe kom je erbij dat de COM21 traag is :?. Maximale bandbreedte van 43 Mbps! Dat zie ik veel (A)DSL-modems niet doen hor! Slaat gewoon werkelijk nergens op. Het SSL vertraagt de boel echt niet zo erg hor. Als je alleen het inloggen doet onder SSL dan heb je het al dik voor elkaar. Ik ken een aantal sites die ook werken met SSL die alles behalve supertraag zijn.

Bovendien, stel, als mijn oom een provider is en toevallig een koppeling tussen twee netwerken in zijn beheer heeft. Is dan nog steeds mijn pakkie an als mijn route via zijn koppeling loopt terwijl hij loopt te scannen? - ik ga nu echt zwaar offtopic maar _alles_ wat plain over inet gaat valt te onderscheppen houd dat goed in je achterhoofd.

Erkens: Nooit inloggen is idd de beste methode om niet met dit 'lek' te maken te hebben ;).

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

com21 was ten tijde dat ik er van hoorde traag; 15 kb/sec. Als dan alles via SSL gaat betekent dat een flinke aanslag op de effectieve bandbreedte.

Alleen inloggen onder SSL is niet erg effectief uiteraard. Je session-id blijft heen en weer vliegen.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

chem schreef op 29 December 2002 @ 20:21:
com21 was ten tijde dat ik er van hoorde traag; 15 kb/sec. Als dan alles via SSL gaat betekent dat een flinke aanslag op de effectieve bandbreedte.

Alleen inloggen onder SSL is niet erg effectief uiteraard. Je session-id blijft heen en weer vliegen.
Dan vertel ik je bij deze dat ik mijn verbinding via een COM21 heb lopen ;). En dat de provider er een limiet op zet, dat heeft geen ZAK met de COM21 te maken.

Het gaat er nu even om dat het wachtwoord niet kan worden onderschept. Overigens kan ik in de bron van deze pagina (wanner ik wil posten) geen enkel sesison-id bekennen....

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

LauPro schreef op 29 december 2002 @ 20:25:
[...]
Dan vertel ik je bij deze dat ik mijn verbinding via een COM21 heb lopen ;). En dat de provider er een limiet op zet, dat heeft geen ZAK met de COM21 te maken.

Het gaat er nu even om dat het wachtwoord niet kan worden onderschept. Overigens kan ik in de bron van deze pagina (wanner ik wil posten) geen enkel sesison-id bekennen....

Nee, dat gaat via de http headers, en niet via de body. Cookies dus.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

Verwijderd

Ook in de source van de pagina waarmee je reply't moet je het ReactID kunnen terugvinden in een hidden input element :)

Acties:
  • 0 Henk 'm!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

LauPro schreef op 29 December 2002 @ 20:19:
Bovendien, stel, als mijn oom een provider is en toevallig een koppeling tussen twee netwerken in zijn beheer heeft. Is dan nog steeds mijn pakkie an als mijn route via zijn koppeling loopt terwijl hij loopt te scannen? - ik ga nu echt zwaar offtopic maar _alles_ wat plain over inet gaat valt te onderscheppen houd dat goed in je achterhoofd.
tuurlijk, maar wie gaat zoveel moeite doen voor jouw account :? Kijk als je nu aan het internet bankieren bent ofzo, maar gotten :/
Erkens: Nooit inloggen is idd de beste methode om niet met dit 'lek' te maken te hebben ;).
computer weggooien (of aan mij geven :P) heeft een nog veel groter effect ;)
Je moet niet iedereen wantrouwen, de meeste zijn niet geinteresseerd in je got accountje ;)

btw ik wist niet dat die optie bij het inloggen om ip te koppelen alleen was voor die sessie, ik dacht dat die voor het account gelde 8)7
heb hem nu dus ingesteld aangezien ik toch een semi-vast ip heb (chello) maar wat nu als ik met deze sessie op een ander ip ga zitten, ik neem aan dat ik dan uitgelogt ben, en ik opnieuw moet inloggen enzo, maar blijft deze sessie dan actief?

Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

als je sessie gekaapt wordt, en er dus een verkeerd ip bij de sessie wordt gevonden dan wordt de sessie vernietigd.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

chem schreef op 29 December 2002 @ 20:28:

[...]

Nee, dat gaat via de http headers, en niet via de body. Cookies dus.
De headers van deze pagina:
HTTP/1.1 200 OK
Date: Sun, 29 Dec 2002 19:56:37 GMT
Server: Apache/1.3.27 (Unix) PHP/4.2.3 mod_gzip/1.3.19.1a
X-Powered-By: PHP/4.2.3
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Sun, 29 Dec 2002 19:56:37 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html
Correct me if i'm wrong maar er staat echt geen session-id in.
Verwijderd schreef op 29 December 2002 @ 20:29:
Ook in de source van de pagina waarmee je reply't moet je het ReactID kunnen terugvinden in een hidden input element :)
Ah gelukkig, geen geblaat:
<input type="hidden" name="data[reactid]" value='bdbf338f43efbfcb7eb3f1ac1e199f66'>
chem schreef op 29 December 2002 @ 20:39:
als je sessie gekaapt wordt, en er dus een verkeerd ip bij de sessie wordt gevonden dan wordt de sessie vernietigd.
chem ik heb een verzoek: zou je voortaan wat preciezer willen zijn in je posts? Want wat je zei is dus alleen maar van toepassing als men ook daadwerkelijk zijn sessie aan het ip heeft vergrendeld.

Nogmaals: ik begrijp dat dit just GoT is, ik ga helemaal off-topic maar het is toch iets waar jullie op moeten letten vind ik (al dan niet voor de users, alleen de admins is ook goed). En ik denk dat ik mijn 'kruistocht' (;)) hierbij maar beëindig.
offtopic:
BUG: Als je sessie vervald onder het opstellen van een bericht is je tekst in feite weg.

[ Voor 3% gewijzigd door LauPro op 29-12-2002 21:11 ]

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

je tekst is dan niet weg, je kan op back drukken.
ten tweede, de sessionid hoort er wel bij te staan in de headers. Het gebeurd iig bij alle users hier op het forum wel :)

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

chem schreef op 29 december 2002 @ 20:39:
als je sessie gekaapt wordt, en er dus een verkeerd ip bij de sessie wordt gevonden dan wordt de sessie vernietigd.
hmm, dat zou dus betekenen dat ik iedere keer opnieuw moet inloggen als ik met mijn laptop op school ben geweest, dus dan koppel ik mijn ip er maar niet aanvast :P

Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

dat klopt ja :)
da's de keerzijde er van uiteraard.
Tenzij je een location manager draait die je cookie-file patched :P

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

chem schreef op 29 December 2002 @ 21:21:
je tekst is dan niet weg, je kan op back drukken.
ten tweede, de sessionid hoort er wel bij te staan in de headers. Het gebeurd iig bij alle users hier op het forum wel :)
Dat is op back kon drukken was wel te hopen ja - bij deze meld ik dan de bug. Maar hij moet gewoon die tekst meenemen en de melding geven dat mijn sessie is verlopen oid.

Geef is een url waar dan zo'n session-id in de headers zou moeten staan?

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

elke url staat de header bij, maw alle url's op g.t.n/forum/*

Wat is de bug dan? je browser gooit de tekst weg? dat ligt dan aan je browser.
Wat er als het goed is gebeurd: je komt op de reply pagina, wordt uitgelogd (door een ander bv.), en drukt op verzend. Je komt nu weer terug op de reply pagina met username/password invulvelden.

Klaar voor een nieuwe uitdaging.


Acties:
  • 0 Henk 'm!

  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 02-10 15:26

LauPro

Prof Mierenneuke®

chem schreef op 29 December 2002 @ 21:37:
elke url staat de header bij, maw alle url's op g.t.n/forum/*

Wat is de bug dan? je browser gooit de tekst weg? dat ligt dan aan je browser.
Wat er als het goed is gebeurd: je komt op de reply pagina, wordt uitgelogd (door een ander bv.), en drukt op verzend. Je komt nu weer terug op de reply pagina met username/password invulvelden.
Ik heb een programma waarmee je ruwe HTTP-request onder ogen krijgt en daar staan geen headers bij zoals jij die bedoeld (jullie gebruiken toch 1.1?)

Mijn bug (eigenlijk verkeerde forum/topic etc :x): Ik typ een tekst klik op 'Verstuur Bericht' en vervolgens is het tekstvak weer leeg met twee extra vakjes 'username' en 'wachtwoord'. Natuurlijk heb ik een 'Back-functie' op mijn browser maar daar moet je je niet achter verschuilen! In dat veld zou gewoon mijn tekst moeten staan met ergens nog een regel dat mijn sessie is vervallen.

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!


Acties:
  • 0 Henk 'm!

  • chem
  • Registratie: Oktober 2000
  • Laatst online: 01-10 23:26

chem

Reist de wereld rond

dat zou dus niet moeten gebeuren, wellicht een bugje in de template. Post het ff in bug, dan kijk ik er naar.

Klaar voor een nieuwe uitdaging.

Pagina: 1