image

Supermarktgigant maakt puinhoop van webbeveiliging

maandag 30 juli 2012, 10:23 door Redactie, 5 reacties

De Britse supermarktgigant Tesco blijkt niet alleen slecht met de wachtwoorden van klanten om te gaan, ook de veiligheid van de website is een puinhoop. Software architect en Microsoft MVP Troy Hunt ontdekte eerder al dat de wachtwoorden niet gehasht en gesalt worden opgeslagen. Er blijkt echter nog veel meer mis met de website van Tesco te zijn, wat één van de grootste supermarktketens ter wereld is.

Zo beschikt het domein secure.tesco.com niet over een geldig SSL-certificaat, terwijl de supermarktketen juist hier laat weten dat het veilig is om via de website online te shoppen. Verder wordt er naar oude browsers gerefereerd, gaat de website na het inloggen via HTTPS terug naar HTTP, mogen wachtwoorden niet langer dan 10 karakters zijn en wordt er geen onderscheid tussen hoofdletters en normale letters gemaakt.

Leermomentje
Daarnaast ontdekte Hunt dat ook de server verkeerd geconfigureerd is en Tesco een zeer oude webserver en framework gebruikt. Webontwikkelaars kunnen dan ook verschillende dingen van de puinhoop bij Tesco leren, zo merkt Hunt in deze analyse op.

Zoals het hashen van wachtwoorden, cookies alleen over HTTPS versturen, geen beperking aan wachtwoord entropie stellen en ervoor zorgen dat de basis beveiligingsinstellingen goed geconfigureerd zijn.

Reacties (5)
30-07-2012, 10:58 door Anoniem
Ebay gaat ook over van https naar http na het inloggen en dan kan je je paypal ook nog automatisch aankoppelen,
Zo vreemd is het niet of wacht hoor dat niet dan?
30-07-2012, 11:10 door Anoniem
De grootste keten, wel maar de zwakste schakel :)
30-07-2012, 12:15 door Anoniem
"Ebay gaat ook over van https naar http na het inloggen. Zo vreemd is het niet of wacht hoor dat niet dan?"

Nou, ik mag hopen dat de verbinding ook encrypted is op het moment dat je andere zaken doorgeeft, zoals persoonsgegevens, bankrekening informatie, en ga zo maar door. Of beschouw je enkel je login/wachtwoord als vertrouwelijk ? ;)
30-07-2012, 13:36 door Anoniem
Vooral die 10 max eraf halen, dan komt er een fuzzer die 1239812 characters als wachtwoord gebruikt waardoor Microsoft framework crashed en vulnerable voor injectie wordt.

Zucht.. Vooral van een Microsofter security advies aannemen... Koop ik nog liever een stukje moeras in Florida van Al Sahaf.
30-07-2012, 14:26 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.