Gå til innhold

Sikker pålogging til forumet/HW-nettverket?

tommyb

Av tommyb
i Tilbakemeldinger til forumet

Anbefalte innlegg

tommyb

tommyb

Skrevet
Skrevet (endret)

Er det bare meg, eller er det ikke lengre mulig å gjøre en sikker pålogging til hw-nettverket? Jeg klarer i alle fall ikke å finne https eller kryptering noe sted, og påloggingen går i klartekst over intranett og internett.

 

Det jeg vil rette kritikk mot er uansett ikke at jeg ikke finner sikker pålogging, men at jeg faktisk finner usikker pålogging. Dette er et IT-rettet fagforum. Det foregår såvidt jeg kan huske også kjøp og salg på forumet. Det er er strengt tatt et sykdomstegn for hele IT-bransjen at dere i det hele tatt tillater (og slipper unna med) posting av passord over usikker oppkobling.

 

Men for meg personlig vil jeg først og fremst vite om det bare er noe med min maskin her som gjør at jeg ikke får pensla over på SSL-sporet, eller om det faktisk ikke finnes sikker pålogging til forumet.

Endret av tommyb
  • Liker 1

Videoannonse

Videoannonse
Annonse
  • 2 uker senere...
Mr.M

Mr.M

Skrevet
Skrevet (endret)

Fra forum-forsiden

 

Nå er jeg usikker på om det jeg påpeker er samme issuet som forrigemann tok opp, men ser slik ut når man vil logge inn;

 

post-10740-0-66828400-1314544479_thumb.png

Endret av Mr.M
JohndoeMAKT

JohndoeMAKT

Skrevet
Skrevet (endret)

Problemet er at stilsett og grafikk lastes over HTTP selv om dokumentet lastes over HTTPS. Nettlesere flagger ikke siden som sikker med mindre alle elementer går over HTTPS siden HTTP-kallene lekker informasjon.

 

Samt at mange av lenkene har HTTP hardkodet i seg og at formene poster til HTTP.

Endret av JohndoeMAKT
TSP

TSP

Skrevet
Skrevet

Det er som JohnDoeMakt skriver. Selve innloggingsfeltene er sikre, men det gjelder ikke for eksempel CSS-en som lastes inn, siden den lastes inn fra http, derfor blir nettsiden seende ut slik du beskriver hvis du trykker på "Ja". Selve innloggingssiden både er på og poster til https, så innloggingsdetaljene skal være sikre. Det er i alle fall ikke noe mer usikkert enn før når vi ikke hadde https. ;)

JohndoeMAKT

JohndoeMAKT

Skrevet
Skrevet
Selve innloggingssiden både er på og poster til https, så innloggingsdetaljene skal være sikre. Det er i alle fall ikke noe mer usikkert enn før når vi ikke hadde https. ;)

Det er sant, passord blir ikke sendt i rentekst, det er en forbedring. Men session hijacking vil ikke være blokkert før alle elementer også lastes kryptert.

tommyb

tommyb

Skrevet
  • Forfatter
Skrevet

Å få innloggingen over på HTTPS sikrer autentikasjonen fra simpel avlytting, som er et mål i seg selv. Mens miksing av HTTP og HTTPS medfører at brukere, spesielt ukyndige brukere, får redusert opplevelsen av besøket (og feilaktig følelse av redusert sikkerhet i forhold til når det bare gikk an å logge på over http).

 

Kanskje burde påloggingen gjøres via en enklere kryptert side for å unngå problemet med css og andre includes som ikke er på https. Så kan man vurdere mulighetene for session hijacking som en egen øvelse.

  • 5 måneder senere...
tommyb

tommyb

Skrevet
  • Forfatter
Skrevet

Da er jeg tilbake her igjen.

 

Skjemmes, skulle dere, hw.no! Skjemmes! At et av Norges største nettsteder skal lære opp brukerne til å sende passord i klartekst på denne måten... Gang på gang velger dere bort NORMALT sikkerhetsnivå. Skjemmes!

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...