Security Professionals - ipfw add deny all from eindgebruikers to any

security.nl secure?

31-03-2010, 14:14 door bl33p, 19 reacties
Hallo allemaal,

Het volgende viel met net op.

Waarom gaat het inloggen op security.nl over HTTP en niet over HTTPS.
Waarom wordt mij vervolgens na het aanmaken een onversleutelde mail het wachtwoord gestuurd?
Reacties (19)
31-03-2010, 14:21 door Anoniem
Als security.nl jouw een versleutelde mail stuurd, hoe wil je het dan lezen ?
31-03-2010, 14:25 door Anoniem
Kijk eens naar de source:

<form action="https://secure.security.nl/" method="post"><input type="hidden" name="form-token" value=" t o k e n "></input><input type="hidden" id="challenge" name="challenge" value=" t o k e n ">

En hoe moet security.nl jou een versleutelde mail versturen als ze je public key niet hebben?
31-03-2010, 14:38 door MrBil
Misschien omdat dit voldoende moet zijn? En security.nl geen klachten krijgt.

Maar het kan inderdaad nog veiliger, alleen ja. Heeft security.nl het er wel voor over, om een SSL certificaat te kopen. Kost ook weer boven de 150 euro als je het legaal wilt doen.
31-03-2010, 14:38 door Anoniem
Haha, grapjas!

Ook al verstuur je mail via SSL, dan is alleen de verbinding naar de server encrypted, en gaat de mail alsnog unencrypted zijn weg vinden via verschillende host, naar de uiteindelijke destination. Jou idee gaat dus totaal niet op.

Als je het echt secure wilt doen, moet je de mail encrypten via PGP, of OpenGPG, maar dat is voor sommige bezoekers van Security.nl nog echt te veel gevraagd. En niet erg realistisch...
31-03-2010, 14:50 door dim
Het is maar een forum, geen bank. En je gebruikt hopelijk niet hetzelfde password op alle sites, toch? :)
31-03-2010, 14:54 door Above
Gaat het inloggen op je eigen pop3 mailbox van je provider over https?
Waar mensen zich allemaal druk om kunnen maken zeg.
Het wachtwoord die je hier gebruikt is zeker hetzelfde als voor je mailbox? Mooi, hebbes.
Op http://www.google.nl/search?hl=nl&source=hp&q=bl33p&meta=&aq=f&aqi=&aql=&oq=&gs_rfai= zoek ik de rest van je accounts.
Gevonden!
http://partyflock.nl/user/1037927/buddies.html
31-03-2010, 15:01 door eXpL0iT.be
Wat Above deed keur ik niet goed maar deze is wel TOUCH?!
Hopelijk zijn er meerdere bl33p's ...
31-03-2010, 15:03 door Anoniem
"Waarom gaat het inloggen op security.nl over HTTP en niet over HTTPS. "

Heb je ook een risk assessment gemaakt. Met andere woorden, welke risico's zijn er die de voorgestelde maatregelen rechtvaardigen ? Ik zie geen enkele reden om HTTPS te gebruiken.

"Waarom wordt mij vervolgens na het aanmaken een onversleutelde mail het wachtwoord gestuurd? "

Waar ben je bang voor, dat iemand het verkeer gaat sniffen om vervolgens onder jouw naam een reactie te plaatsen op het forum ? En indien security.nl jou een versleutelde email zou sturen, hoe ga jij die dan lezen zonder de key om de email te kunnen decrypten ?
31-03-2010, 15:16 door bl33p
Door Anoniem: Als security.nl jouw een versleutelde mail stuurd, hoe wil je het dan lezen ?

Mee eens, ik had het anders moeten formuleren. Het gaat er om dat er een wachtwoord in plain text verstuurd wordt.
31-03-2010, 15:19 door bl33p
Door Above: Gaat het inloggen op je eigen pop3 mailbox van je provider over https?
Waar mensen zich allemaal druk om kunnen maken zeg.
Het wachtwoord die je hier gebruikt is zeker hetzelfde als voor je mailbox? Mooi, hebbes.
Op http://www.google.nl/search?hl=nl&source=hp&q=bl33p&meta=&aq=f&aqi=&aql=&oq=&gs_rfai= zoek ik de rest van je accounts.
Gevonden!
http://partyflock.nl/user/1037927/buddies.html
Dat ben ik niet... Overigens maak ik gebruik van IMAP en geen POP3.
31-03-2010, 15:23 door bl33p
Door Anoniem: "Waarom gaat het inloggen op security.nl over HTTP en niet over HTTPS. "

Heb je ook een risk assessment gemaakt. Met andere woorden, welke risico's zijn er die de voorgestelde maatregelen rechtvaardigen ? Ik zie geen enkele reden om HTTPS te gebruiken.

"Waarom wordt mij vervolgens na het aanmaken een onversleutelde mail het wachtwoord gestuurd? "

Waar ben je bang voor, dat iemand het verkeer gaat sniffen om vervolgens onder jouw naam een reactie te plaatsen op het forum ? En indien security.nl jou een versleutelde email zou sturen, hoe ga jij die dan lezen zonder de key om de email te kunnen decrypten ?

Ik heb geen risk assesment gemaakt. Het viel me net op toen ik een accountje aanmaakte. Ik ben ook niet "bang" dat mijn account gekaapt wordt. Het gaat er om dat het wellicht mogelijk zou zijn, toch?

Goed om te zien dat dit topic wel aandacht krijgt. Het heeft blijkbaar wel iets los gemaakt.
31-03-2010, 15:38 door Anoniem
"Mee eens, ik had het anders moeten formuleren. Het gaat er om dat er een wachtwoord in plain text verstuurd wordt."

Nogmaals - indien het niet in plain text wordt verstuurd, hoe wil je het dan lezen ?

"Goed om te zien dat dit topic wel aandacht krijgt. Het heeft blijkbaar wel iets los gemaakt."

Ik snap je punt nog steeds niet. Waar ben je bang voor. Het gaat hier niet om internetbankieren, er staan geen gevoelige gegevens over je opgeslagen, en ga zo maar door. Much ado about nothing.
31-03-2010, 18:31 door Bill Torvalds
Ik heb een keer met een sniffer ingelogd maar bij het wachtwoord krijg ik gewoon wat hexadecimale getallen te zien dus is dit forum toch een stuk veiliger dan de gemiddelde.
01-04-2010, 21:04 door [Account Verwijderd]
[Verwijderd]
01-04-2010, 21:13 door [Account Verwijderd]
[Verwijderd]
02-04-2010, 11:56 door Anoniem
Waarom moelijk doen, mail gewoon een activatie link :)
Je onthoud het wachtwoord toch wel, je moet nog geen eens een plain text password in je mail willen hebben.

En SSL liever wel, op de hele site
02-04-2010, 14:50 door Anoniem
Nogmaals - indien het niet in plain text wordt verstuurd, hoe wil je het dan lezen ?
Wat dacht je van gewoon niet? Gewoon een linkje om een nieuw wachtwoord te genereren, of het *nieuw* gegenereerde wachtwoord verzenden, en niet net als T-Mobile je bestaande wachtwoord in plain text versturen (!!).
02-04-2010, 16:24 door Anoniem
Door MrBil: Misschien omdat dit voldoende moet zijn? En security.nl geen klachten krijgt.

Maar het kan inderdaad nog veiliger, alleen ja. Heeft security.nl het er wel voor over, om een SSL certificaat te kopen. Kost ook weer boven de 150 euro als je het legaal wilt doen.


150 euro? nulletje teveel? met 10 a 15 euro ben je voor een simpele website wel klaar hoor
02-04-2010, 18:06 door KwukDuck
Het punt is, dat de website helemaal geen wachtwoorden hoort te sturen, niet bij het aanmelden, niet bij het opvragen.
Bij het aanmelden weet ik zelf wel welk wachtwoord ik gebruikt heb, dit hoort als salted has in de database te staan.
Bij het opvragen van een 'vergeten' wachtwoord behoor je een 'reset-mail' te krijgen, en niet je wachtwoord in plaintext.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.