Bedrijf dat inloggen via http aanbiedt hekelt Firefox-melding
Een beheerder van de website Oil and Gas International heeft tegenover Mozilla geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. De site biedt gebruikers namelijk een inlogformulier via http aan en sinds kort waarschuwt Firefox hiervoor.
Mozilla wil zo gebruikers beschermen en ervoor zorgen dat websites op https overstappen, zodat verstuurde gegevens zijn versleuteld. Op Bugzilla, de plek waar gebruikers en ontwikkelaars bugs in Firefox kunnen rapporteren, laat een beheerder van de website weten dat de melding van Firefox zonder zijn toestemming wordt getoond. De beheerder roept Mozilla dan ook op om de melding direct te verwijderen. "We hebben ons eigen beveiligingssysteem en zijn in meer dan 15 jaar nog nooit gehackt. De melding veroorzaakt zorgen bij onze abonnees en is schadelijk voor ons bedrijf", aldus de beheerder.
De bugmelding werd door iemand op Reddit opgemerkt. Niet veel later zou de database van de website via sql-injection in het inlogformulier zijn aangevallen, zo laat een andere lezer weten. In een reactie op de klacht stelt Mozilla dat websites die gebruikers via http laten inloggen de wachtwoorden van gebruikers in gevaar brengen, aangezien die onversleuteld worden verstuurd. In het geval van Oil and Gas International gaat het niet alleen om wachtwoorden, maar ook bij het versturen van creditcardgegevens wordt er geen gebruik van https gemaakt. De bugmelding is inmiddels niet meer zichtbaar.
Lol, ze draaien de boel weer om. En de motivatie ...is lachwekkend. Dia zijn vast allang gehacked maar hebben het niet gemerkt.
Wel is het lastig voor de gebruiker, omdat een nare wifi-beheerder (of andere lastiger uit te leggen luitjes) de naam wachtwoord kan afkijken, en later kan gebruiken.
Nog steeds geen probleem voor de website, wel voor de gebruiker.
Door dit zo luidkeels niet te snappen, vraagt de web-beheerder aandacht voor zijn website en onkunde, waarna het een hacker naar verluid lukte om een site, opgebouwd door een ...onkundige beheerder... te hacken.
internet vs beheerder 1:0
"Niet veel later zou de database van de website via sql-injection in het inlogformulier zijn aangevallen, zo laat een andere lezer weten.". Priceless!
a) dat kun je niet weten en b) dat kun je niet bewijzen.
Dat dit soort knurften vandaag de dag nog websites beheren, ongelofelijk.
SQL-injection heeft helemaal niets met https te maken. Die indruk wordt echter wel gewekt.
Tja, welke database wordt nu eigenlijk bedoeld? Die van Bugzilla, Reddit, of van die website waar geen https aanwezig is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.