comicsdk
#0
Min browser (google chrome) bliver ved med at fortælle mig at hwt.dk ikke er sikker.
Jeg skal undlade at indtaste kreditkortoplysninger og adgangskoder.
Det gør det vanskeligt at logge ind..
Anywhat - hvad går det ud på?
#1
Det er pga. ny chrome version.
Beskeden er pga. manglende https forbindelse ved logon.
Svaret blev redigeret 1 gang, sidst af KiloDunse d. 22-02-2017 12:01:08.
Beskeden er pga. manglende https forbindelse ved logon.
Svaret blev redigeret 1 gang, sidst af KiloDunse d. 22-02-2017 12:01:08.
#2
1
Med andre ord ingen grund til bekymrede miner.
Tak for respons.
#3
Ud over at hwt.dk gemmer dit password i plain text 😕
(Det bliver i hvert fald sendt som plain text, hvis man benytter glemt password funktionen)
Svaret blev redigeret 1 gang, sidst af kjaer d. 22-02-2017 12:24:11.
(Det bliver i hvert fald sendt som plain text, hvis man benytter glemt password funktionen)
Svaret blev redigeret 1 gang, sidst af kjaer d. 22-02-2017 12:24:11.
#4
#3 Det er helt rigtigt - men har HWT fx økonomi til at betale for andet? Hvis de laver eget certifikat, så bliver det kaldt usikkert og upålideligt, med pop-up i de fleste browsere (as far as I know), hvilket ikke er tilfældet nu. Alternativt skal hwt finde penge til at købe sig et certifikat 🙂
#5
Lets encrypt certifikat er gratis.
Siden kunne alternativt blive smækket bag CloudFlare hvilket også udsteder gratis certifikater.
HWT får snart en fin rød trekant i Chrome i en fremtidig opdatering, i stedet for at der bare kommer til at stå "Not Secure" i addressebaren.
Siden kunne alternativt blive smækket bag CloudFlare hvilket også udsteder gratis certifikater.
HWT får snart en fin rød trekant i Chrome i en fremtidig opdatering, i stedet for at der bare kommer til at stå "Not Secure" i addressebaren.
#6
Hvad kunne man eventuelt selv gøre, for at passwords ikke bliver sendt i ren tekst når man logger ind?
#7
#6 Hvis du ikke sender det i klar tekst, hvordan tror du så serveren tolker det..? Tror du at den kan matche "&¤%/S%/SDGDG%/SDwerweDF%¤/& op imod fiskekutter2017 og sige "kodeordet passer, han skal logges ind" ?
#8
7
Jeg ved ingenting om den slags, hvilket mit spørgsmål jo også bærer kraftigt præg af.
#9
#4 Tror du blander tingene.
Hvis hwt ikke har nok penge til at betale for regnekraften for at hashe mit password, så skal jeg nok sende et par kroner.
At opbevare passwords i plaintext er nok det dårligste ved denne side, man fatter det næsten ikke.
Man kunne forstå hvis det var hestenettet, men en hardware side..
Hvis hwt ikke har nok penge til at betale for regnekraften for at hashe mit password, så skal jeg nok sende et par kroner.
At opbevare passwords i plaintext er nok det dårligste ved denne side, man fatter det næsten ikke.
Man kunne forstå hvis det var hestenettet, men en hardware side..
#11
#10 det ændrer jo ikke på hvordan HWT håndterer passwords. Ligeledes ændrer det ikke på at dine sessioner ikke er krypterede, hvilket betyder at hvem som helst kan opsnappe din session og udgive sig for at være dig.
#12
9 måneder senere og der er ikke sket en skid!
Hvad er det for en måde at håndtere sikkerhed på?!
Hvad er det for en måde at håndtere sikkerhed på?!
#13
desværre ikke, og du har fuldstændig ret, de burde har haft lavet det, for lang tid siden.
#14
Vil helt klart også sige 'smid et lets encrypt' gratis certifikat på. Dog mener jeg de skal opdateres ret ofte - hvor et betalingscertifikat kan købes op til 3 eller 5 år. Bare for dovenskabens skyld. 🙂
Personligt smed jeg også gerne en skilling i det - http er bare så meget 'sidste årtusinde'. 🙂 🙂 ...
Personligt smed jeg også gerne en skilling i det - http er bare så meget 'sidste årtusinde'. 🙂 🙂 ...
#15
Hvad har I så personfølsomt på hwt, siden det er så stor et problem?
#16
Der er flere grunde til at køre med HTTPS:
- Privathed, folk kan ikke følge med i hvad du kigger på, beskyttelse mod MITM
- Browsere bliver mere strikse
- HTTP 2
- Bedre rangering i søgemaskiner
- 3rd party inclusion. Hvis jeg laver en hjemmeside som skal inkludere en kilde som ikke er HTTPS, så bliver browseren sur
Det tager ikke specielt lang tid at installere et SSL certifikat...
- Privathed, folk kan ikke følge med i hvad du kigger på, beskyttelse mod MITM
- Browsere bliver mere strikse
- HTTP 2
- Bedre rangering i søgemaskiner
- 3rd party inclusion. Hvis jeg laver en hjemmeside som skal inkludere en kilde som ikke er HTTPS, så bliver browseren sur
Det tager ikke specielt lang tid at installere et SSL certifikat...
#17
#16
1. admin, mods og devs bruger tid på siden i deres fritid
2. jeg tror du er mere end velkommen til både at vise hvordan det skal gøres, og få det implementeret
1. admin, mods og devs bruger tid på siden i deres fritid
2. jeg tror du er mere end velkommen til både at vise hvordan det skal gøres, og få det implementeret
#18
#17
Giv mig adgang så skal jeg nok gøre det.
Giv mig adgang så skal jeg nok gøre det.
#19
#14 det kan sættes op til automatisk at opdatere. Et cronjob script også køre det 24/7.
#18 Jeg kan sgu også godt hjælpe - hvis det er. :P
SSL + Password hashing + SALT er ikke så svært at lave. :)
Nu har jeg ikke lige styr på hvad siden er skrevet i, men i PHP findes der en funktion til at hashe + verify adgangskoder, det er to linjer kode ekstra.
Svaret blev redigeret 1 gang, sidst af Kallaen d. 19-11-2017 15:18:19.
#18 Jeg kan sgu også godt hjælpe - hvis det er. :P
SSL + Password hashing + SALT er ikke så svært at lave. :)
Nu har jeg ikke lige styr på hvad siden er skrevet i, men i PHP findes der en funktion til at hashe + verify adgangskoder, det er to linjer kode ekstra.
Svaret blev redigeret 1 gang, sidst af Kallaen d. 19-11-2017 15:18:19.
#20
#17 Det er misforstået at blot fordi nogen gør noget gratis, så må man ikke komme med kritik af det.
Det er meget simpelt.
https://github.com/Lone-Coder/...
Sample: https://github.com/Lone-Coder/...
Svaret blev redigeret 1 gang, sidst af Anonym202031110209 d. 22-11-2017 02:22:19.
https://github.com/Lone-Coder/...
Sample: https://github.com/Lone-Coder/...
Svaret blev redigeret 1 gang, sidst af Anonym202031110209 d. 22-11-2017 02:22:19.
#22
Hvis jeg husker rigtigt, så bliver det fikset med næste version af siden, og derfor vil man ikke bruge tid på at fikse det i den nuværende.
#23
#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)
#24
#22 Den har været undervejs i flere år.. du skal nok ikke holde vejret :)
#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)
Også derfor jeg linkede acme.sh til windows/iis :P