Sikkerhedsproblem på hwt.dk?

Om siden d.  22. februar. 2017, skrevet af comicsdk
Vist: 4126 gange.

comicsdk
 
Elitebruger
Tilføjet:
22-02-2017 11:55:33
Svar/Indlæg:
2131/173

Min browser (google chrome) bliver ved med at fortælle mig at hwt.dk ikke er sikker.
Jeg skal undlade at indtaste kreditkortoplysninger og adgangskoder.
Det gør det vanskeligt at logge ind..

Anywhat - hvad går det ud på?
KiloDunse
 
Programmør
Tilføjet:
22-02-2017 11:59:45
Svar/Indlæg:
1605/96
Det er pga. ny chrome version.

Beskeden er pga. manglende https forbindelse ved logon.


Svaret blev redigeret 1 gang, sidst af KiloDunse d. 22-02-2017 12:01:08.


comicsdk
 
Elitebruger
Tilføjet:
22-02-2017 12:01:42
Svar/Indlæg:
2131/173

1
Med andre ord ingen grund til bekymrede miner.
Tak for respons.



kjaer
 
Overclocker
Tilføjet:
22-02-2017 12:23:40
Svar/Indlæg:
99/15
Ud over at hwt.dk gemmer dit password i plain text 😕

(Det bliver i hvert fald sendt som plain text, hvis man benytter glemt password funktionen)


Svaret blev redigeret 1 gang, sidst af kjaer d. 22-02-2017 12:24:11.


1EaR
 
Elitebruger
Tilføjet:
22-02-2017 13:17:30
Svar/Indlæg:
5750/124
#3 Det er helt rigtigt - men har HWT fx økonomi til at betale for andet? Hvis de laver eget certifikat, så bliver det kaldt usikkert og upålideligt, med pop-up i de fleste browsere (as far as I know), hvilket ikke er tilfældet nu. Alternativt skal hwt finde penge til at købe sig et certifikat 🙂


ostebaronen
 
Overclocker
Tilføjet:
23-02-2017 01:28:59
Svar/Indlæg:
26/1
Lets encrypt certifikat er gratis.

Siden kunne alternativt blive smækket bag CloudFlare hvilket også udsteder gratis certifikater.

HWT får snart en fin rød trekant i Chrome i en fremtidig opdatering, i stedet for at der bare kommer til at stå "Not Secure" i addressebaren.


comicsdk
 
Elitebruger
Tilføjet:
24-02-2017 21:53:54
Svar/Indlæg:
2131/173

Hvad kunne man eventuelt selv gøre, for at passwords ikke bliver sendt i ren tekst når man logger ind?


Die_Happy
 
Elitebruger
Tilføjet:
24-02-2017 22:15:59
Svar/Indlæg:
3385/80
#6 Hvis du ikke sender det i klar tekst, hvordan tror du så serveren tolker det..? Tror du at den kan matche "&¤%/S%/SDGDG%/SDwerweDF%¤/& op imod fiskekutter2017 og sige "kodeordet passer, han skal logges ind" ?


comicsdk
 
Elitebruger
Tilføjet:
24-02-2017 22:22:31
Svar/Indlæg:
2131/173

7
Jeg ved ingenting om den slags, hvilket mit spørgsmål jo også bærer kraftigt præg af.


MadsAG
 
Elitebruger
Tilføjet:
24-02-2017 23:44:50
Svar/Indlæg:
5421/53
#4 Tror du blander tingene.
Hvis hwt ikke har nok penge til at betale for regnekraften for at hashe mit password, så skal jeg nok sende et par kroner.

At opbevare passwords i plaintext er nok det dårligste ved denne side, man fatter det næsten ikke.

Man kunne forstå hvis det var hestenettet, men en hardware side..


MSJ1982
 
Elitebruger
Tilføjet:
26-02-2017 10:06:37
Svar/Indlæg:
3577/353
Brug FF 🤡


ostebaronen
 
Overclocker
Tilføjet:
26-02-2017 16:21:28
Svar/Indlæg:
26/1
#10 det ændrer jo ikke på hvordan HWT håndterer passwords. Ligeledes ændrer det ikke på at dine sessioner ikke er krypterede, hvilket betyder at hvem som helst kan opsnappe din session og udgive sig for at være dig.


ostebaronen
 
Overclocker
Tilføjet:
18-11-2017 14:51:09
Svar/Indlæg:
26/1
9 måneder senere og der er ikke sket en skid!

Hvad er det for en måde at håndtere sikkerhed på?!


NightBreaker
 
Elitebruger
Tilføjet:
18-11-2017 15:28:22
Svar/Indlæg:
857/27
desværre ikke, og du har fuldstændig ret, de burde har haft lavet det, for lang tid siden.


#14
Phz
 
Superbruger
Tilføjet:
18-11-2017 16:00:41
Svar/Indlæg:
157/0
Vil helt klart også sige 'smid et lets encrypt' gratis certifikat på. Dog mener jeg de skal opdateres ret ofte - hvor et betalingscertifikat kan købes op til 3 eller 5 år. Bare for dovenskabens skyld. 🙂

Personligt smed jeg også gerne en skilling i det - http er bare så meget 'sidste årtusinde'. 🙂 🙂 ...


bmwnp
 
Elitebruger
Tilføjet:
18-11-2017 16:44:51
Svar/Indlæg:
611/4
Hvad har I så personfølsomt på hwt, siden det er så stor et problem?


ostebaronen
 
Overclocker
Tilføjet:
18-11-2017 20:25:29
Svar/Indlæg:
26/1
Der er flere grunde til at køre med HTTPS:

- Privathed, folk kan ikke følge med i hvad du kigger på, beskyttelse mod MITM
- Browsere bliver mere strikse
- HTTP 2
- Bedre rangering i søgemaskiner
- 3rd party inclusion. Hvis jeg laver en hjemmeside som skal inkludere en kilde som ikke er HTTPS, så bliver browseren sur

Det tager ikke specielt lang tid at installere et SSL certifikat...


mfcods
 
Elitebruger
Tilføjet:
19-11-2017 12:35:48
Svar/Indlæg:
4222/223
#16
1. admin, mods og devs bruger tid på siden i deres fritid

2. jeg tror du er mere end velkommen til både at vise hvordan det skal gøres, og få det implementeret


ostebaronen
 
Overclocker
Tilføjet:
19-11-2017 14:42:20
Svar/Indlæg:
26/1
#17

Giv mig adgang så skal jeg nok gøre det.


Kallaen
 
Superbruger
Tilføjet:
19-11-2017 15:15:11
Svar/Indlæg:
165/25
#14 det kan sættes op til automatisk at opdatere. Et cronjob script også køre det 24/7.

#18 Jeg kan sgu også godt hjælpe - hvis det er. :P
SSL + Password hashing + SALT er ikke så svært at lave. :)
Nu har jeg ikke lige styr på hvad siden er skrevet i, men i PHP findes der en funktion til at hashe + verify adgangskoder, det er to linjer kode ekstra.


Svaret blev redigeret 1 gang, sidst af Kallaen d. 19-11-2017 15:18:19.


Die_Happy
 
Elitebruger
Tilføjet:
21-11-2017 21:03:58
Svar/Indlæg:
3385/80
#17 Det er misforstået at blot fordi nogen gør noget gratis, så må man ikke komme med kritik af det.


Anonym202031110209
 
Superbruger
Tilføjet:
22-11-2017 02:20:36
Svar/Indlæg:
388/15
Det er meget simpelt.

https://github.com/Lone-Coder/...

Sample: https://github.com/Lone-Coder/...


Svaret blev redigeret 1 gang, sidst af Anonym202031110209 d. 22-11-2017 02:22:19.


heinrich
 
Elitebruger
Tilføjet:
22-11-2017 06:54:21
Svar/Indlæg:
1341/56
Hvis jeg husker rigtigt, så bliver det fikset med næste version af siden, og derfor vil man ikke bruge tid på at fikse det i den nuværende.


ThomasK
 
Overclocker
Tilføjet:
22-11-2017 12:53:59
Svar/Indlæg:
20/2
#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)


Die_Happy
 
Elitebruger
Tilføjet:
22-11-2017 12:58:19
Svar/Indlæg:
3385/80
#22 Den har været undervejs i flere år.. du skal nok ikke holde vejret :)


Anonym202031110209
 
Superbruger
Tilføjet:
22-11-2017 13:19:47
Svar/Indlæg:
388/15

#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)

ThomasK skrev d. 22-11-2017 12:53:59


Også derfor jeg linkede acme.sh til windows/iis :P