tommyb Skrevet 18. august 2011 Rapporter Del Skrevet 18. august 2011 (endret) Er det bare meg, eller er det ikke lengre mulig å gjøre en sikker pålogging til hw-nettverket? Jeg klarer i alle fall ikke å finne https eller kryptering noe sted, og påloggingen går i klartekst over intranett og internett. Det jeg vil rette kritikk mot er uansett ikke at jeg ikke finner sikker pålogging, men at jeg faktisk finner usikker pålogging. Dette er et IT-rettet fagforum. Det foregår såvidt jeg kan huske også kjøp og salg på forumet. Det er er strengt tatt et sykdomstegn for hele IT-bransjen at dere i det hele tatt tillater (og slipper unna med) posting av passord over usikker oppkobling. Men for meg personlig vil jeg først og fremst vite om det bare er noe med min maskin her som gjør at jeg ikke får pensla over på SSL-sporet, eller om det faktisk ikke finnes sikker pålogging til forumet. Endret 18. august 2011 av tommyb 1 Lenke til kommentar
mads Skrevet 18. august 2011 Rapporter Del Skrevet 18. august 2011 Hei! Da har jeg slått på sikker pålogging igjen :-) Mvh, Mads 3 Lenke til kommentar
tommyb Skrevet 18. august 2011 Forfatter Rapporter Del Skrevet 18. august 2011 Guille godt! Lenke til kommentar
Mr.M Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 Det popper fortsatt opp en boks om at innlogging ikke er sikker? Lenke til kommentar
TSP Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 Logger du inn fra forsiden? Lenke til kommentar
Mr.M Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 (endret) Fra forum-forsiden Nå er jeg usikker på om det jeg påpeker er samme issuet som forrigemann tok opp, men ser slik ut når man vil logge inn; Endret 28. august 2011 av Mr.M Lenke til kommentar
TSP Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 Så du logger inn med hurtiginnloggingen? Logg inn herfra og se om du får samme melding: https://www.diskusjon.no/index.php?app=core&module=global§ion=login Lenke til kommentar
JohndoeMAKT Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 (endret) Problemet er at stilsett og grafikk lastes over HTTP selv om dokumentet lastes over HTTPS. Nettlesere flagger ikke siden som sikker med mindre alle elementer går over HTTPS siden HTTP-kallene lekker informasjon. Samt at mange av lenkene har HTTP hardkodet i seg og at formene poster til HTTP. Endret 28. august 2011 av JohndoeMAKT Lenke til kommentar
Mr.M Skrevet 28. august 2011 Rapporter Del Skrevet 28. august 2011 Så du logger inn med hurtiginnloggingen? Logg inn herfra og se om du får samme melding: https://www.diskusjon.no/index.php?app=core&module=global§ion=login Fort jeg trykker den linken, spretter samme boksen frem Hvis svare "Ja" så vises en rotet side og man må scrolle helt til bunn for å finne innloggings-feltet. Hvis "Nei" så er innlogging rett foran deg, og i vanlig ryddig design Lenke til kommentar
TSP Skrevet 29. august 2011 Rapporter Del Skrevet 29. august 2011 Det er som JohnDoeMakt skriver. Selve innloggingsfeltene er sikre, men det gjelder ikke for eksempel CSS-en som lastes inn, siden den lastes inn fra http, derfor blir nettsiden seende ut slik du beskriver hvis du trykker på "Ja". Selve innloggingssiden både er på og poster til https, så innloggingsdetaljene skal være sikre. Det er i alle fall ikke noe mer usikkert enn før når vi ikke hadde https. Lenke til kommentar
JohndoeMAKT Skrevet 29. august 2011 Rapporter Del Skrevet 29. august 2011 Selve innloggingssiden både er på og poster til https, så innloggingsdetaljene skal være sikre. Det er i alle fall ikke noe mer usikkert enn før når vi ikke hadde https. Det er sant, passord blir ikke sendt i rentekst, det er en forbedring. Men session hijacking vil ikke være blokkert før alle elementer også lastes kryptert. Lenke til kommentar
tommyb Skrevet 29. august 2011 Forfatter Rapporter Del Skrevet 29. august 2011 Å få innloggingen over på HTTPS sikrer autentikasjonen fra simpel avlytting, som er et mål i seg selv. Mens miksing av HTTP og HTTPS medfører at brukere, spesielt ukyndige brukere, får redusert opplevelsen av besøket (og feilaktig følelse av redusert sikkerhet i forhold til når det bare gikk an å logge på over http). Kanskje burde påloggingen gjøres via en enklere kryptert side for å unngå problemet med css og andre includes som ikke er på https. Så kan man vurdere mulighetene for session hijacking som en egen øvelse. Lenke til kommentar
mandela Skrevet 2. september 2011 Rapporter Del Skrevet 2. september 2011 Et problem jeg har er at bokmerket mitt https://www.diskusjon.no/index.php?app=forums&module=extras§ion=myposts redirecter til http, slik at jeg manuelt må legge inn en ekstra s på slutten, det funker greit å redigere det i Opera, men er pes for de som bruker Firfox, siden den ikke eksponerer http lenger som default. 1 Lenke til kommentar
tommyb Skrevet 6. februar 2012 Forfatter Rapporter Del Skrevet 6. februar 2012 Da er jeg tilbake her igjen. Skjemmes, skulle dere, hw.no! Skjemmes! At et av Norges største nettsteder skal lære opp brukerne til å sende passord i klartekst på denne måten... Gang på gang velger dere bort NORMALT sikkerhetsnivå. Skjemmes! Lenke til kommentar
mandela Skrevet 6. februar 2012 Rapporter Del Skrevet 6. februar 2012 Det har også blitt verre med forumoppgraderingen nylig: https://www.diskusjon.no/index.php?showtopic=1405957&view=findpost&p=18904462 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå