Sikkerhedsproblem på hwt.dk?

Om siden d.  22. februar. 2017, skrevet af comicsdk
Vist: 3447 gange.

comicsdk Elitebruger
Tilføjet:
22-02-2017 11:55:33
Svar/Indlæg:
2131/173

Min browser (google chrome) bliver ved med at fortælle mig at hwt.dk ikke er sikker.
Jeg skal undlade at indtaste kreditkortoplysninger og adgangskoder.
Det gør det vanskeligt at logge ind..

Anywhat - hvad går det ud på?


KiloDunse Programmør
Tilføjet:
22-02-2017 11:59:45
Svar/Indlæg:
1369/93
Det er pga. ny chrome version.

Beskeden er pga. manglende https forbindelse ved logon.


Svaret blev redigeret 1 gang, sidst af KiloDunse d. 22-02-2017 12:01:08.



comicsdk Elitebruger
Tilføjet:
22-02-2017 12:01:42
Svar/Indlæg:
2131/173

1
Med andre ord ingen grund til bekymrede miner.
Tak for respons.




kjaer Overclocker
Tilføjet:
22-02-2017 12:23:40
Svar/Indlæg:
99/15
Ud over at hwt.dk gemmer dit password i plain text smile

(Det bliver i hvert fald sendt som plain text, hvis man benytter glemt password funktionen)


Svaret blev redigeret 1 gang, sidst af kjaer d. 22-02-2017 12:24:11.



1EaR Elitebruger
Tilføjet:
22-02-2017 13:17:30
Svar/Indlæg:
5705/122
#3 Det er helt rigtigt - men har HWT fx økonomi til at betale for andet? Hvis de laver eget certifikat, så bliver det kaldt usikkert og upålideligt, med pop-up i de fleste browsere (as far as I know), hvilket ikke er tilfældet nu. Alternativt skal hwt finde penge til at købe sig et certifikat smile



ostebaronen Overclocker
Tilføjet:
23-02-2017 01:28:59
Svar/Indlæg:
26/1
Lets encrypt certifikat er gratis.

Siden kunne alternativt blive smækket bag CloudFlare hvilket også udsteder gratis certifikater.

HWT får snart en fin rød trekant i Chrome i en fremtidig opdatering, i stedet for at der bare kommer til at stå "Not Secure" i addressebaren.



comicsdk Elitebruger
Tilføjet:
24-02-2017 21:53:54
Svar/Indlæg:
2131/173

Hvad kunne man eventuelt selv gøre, for at passwords ikke bliver sendt i ren tekst når man logger ind?



Die_Happy Elitebruger
Tilføjet:
24-02-2017 22:15:59
Svar/Indlæg:
3258/80
#6 Hvis du ikke sender det i klar tekst, hvordan tror du så serveren tolker det..? Tror du at den kan matche "&¤%/S%/SDGDG%/SDwerweDF%¤/& op imod fiskekutter2017 og sige "kodeordet passer, han skal logges ind" ?



comicsdk Elitebruger
Tilføjet:
24-02-2017 22:22:31
Svar/Indlæg:
2131/173

7
Jeg ved ingenting om den slags, hvilket mit spørgsmål jo også bærer kraftigt præg af.



MadsAG Elitebruger
Tilføjet:
24-02-2017 23:44:50
Svar/Indlæg:
5402/53
#4 Tror du blander tingene.
Hvis hwt ikke har nok penge til at betale for regnekraften for at hashe mit password, så skal jeg nok sende et par kroner.

At opbevare passwords i plaintext er nok det dårligste ved denne side, man fatter det næsten ikke.

Man kunne forstå hvis det var hestenettet, men en hardware side..



MSJ1982 Elitebruger
Tilføjet:
26-02-2017 10:06:37
Svar/Indlæg:
3575/350
Brug FF smile



ostebaronen Overclocker
Tilføjet:
26-02-2017 16:21:28
Svar/Indlæg:
26/1
#10 det ændrer jo ikke på hvordan HWT håndterer passwords. Ligeledes ændrer det ikke på at dine sessioner ikke er krypterede, hvilket betyder at hvem som helst kan opsnappe din session og udgive sig for at være dig.



ostebaronen Overclocker
Tilføjet:
18-11-2017 14:51:09
Svar/Indlæg:
26/1
9 måneder senere og der er ikke sket en skid!

Hvad er det for en måde at håndtere sikkerhed på?!



NightBreaker Elitebruger
Tilføjet:
18-11-2017 15:28:22
Svar/Indlæg:
835/26
desværre ikke, og du har fuldstændig ret, de burde har haft lavet det, for lang tid siden.



#14
Phz Superbruger
Tilføjet:
18-11-2017 16:00:41
Svar/Indlæg:
131/0
Vil helt klart også sige 'smid et lets encrypt' gratis certifikat på. Dog mener jeg de skal opdateres ret ofte - hvor et betalingscertifikat kan købes op til 3 eller 5 år. Bare for dovenskabens skyld. smile

Personligt smed jeg også gerne en skilling i det - http er bare så meget 'sidste årtusinde'. smile smile ...



bmwnp Elitebruger
Tilføjet:
18-11-2017 16:44:51
Svar/Indlæg:
596/2
Hvad har I så personfølsomt på hwt, siden det er så stor et problem?



ostebaronen Overclocker
Tilføjet:
18-11-2017 20:25:29
Svar/Indlæg:
26/1
Der er flere grunde til at køre med HTTPS:

- Privathed, folk kan ikke følge med i hvad du kigger på, beskyttelse mod MITM
- Browsere bliver mere strikse
- HTTP 2
- Bedre rangering i søgemaskiner
- 3rd party inclusion. Hvis jeg laver en hjemmeside som skal inkludere en kilde som ikke er HTTPS, så bliver browseren sur

Det tager ikke specielt lang tid at installere et SSL certifikat...



Kramler Elitebruger
Tilføjet:
19-11-2017 12:35:48
Svar/Indlæg:
3546/192
#16
1. admin, mods og devs bruger tid på siden i deres fritid

2. jeg tror du er mere end velkommen til både at vise hvordan det skal gøres, og få det implementeret



ostebaronen Overclocker
Tilføjet:
19-11-2017 14:42:20
Svar/Indlæg:
26/1
#17

Giv mig adgang så skal jeg nok gøre det.



Kallaen Superbruger
Tilføjet:
19-11-2017 15:15:11
Svar/Indlæg:
160/24
#14 det kan sættes op til automatisk at opdatere. Et cronjob script også køre det 24/7.

#18 Jeg kan sgu også godt hjælpe - hvis det er. :P
SSL + Password hashing + SALT er ikke så svært at lave. :)
Nu har jeg ikke lige styr på hvad siden er skrevet i, men i PHP findes der en funktion til at hashe + verify adgangskoder, det er to linjer kode ekstra.


Svaret blev redigeret 1 gang, sidst af Kallaen d. 19-11-2017 15:18:19.



Die_Happy Elitebruger
Tilføjet:
21-11-2017 21:03:58
Svar/Indlæg:
3258/80
#17 Det er misforstået at blot fordi nogen gør noget gratis, så må man ikke komme med kritik af det.



Rodael Superbruger
Tilføjet:
22-11-2017 02:20:36
Svar/Indlæg:
382/14
Det er meget simpelt.

https://github.com/Lone-Coder/...

Sample: https://github.com/Lone-Coder/...


Svaret blev redigeret 1 gang, sidst af Rodael d. 22-11-2017 02:22:19.



heinrich Elitebruger
Tilføjet:
22-11-2017 06:54:21
Svar/Indlæg:
1338/56
Hvis jeg husker rigtigt, så bliver det fikset med næste version af siden, og derfor vil man ikke bruge tid på at fikse det i den nuværende.



ThomasK Overclocker
Tilføjet:
22-11-2017 12:53:59
Svar/Indlæg:
20/2
#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)



Die_Happy Elitebruger
Tilføjet:
22-11-2017 12:58:19
Svar/Indlæg:
3258/80
#22 Den har været undervejs i flere år.. du skal nok ikke holde vejret :)



Rodael Superbruger
Tilføjet:
22-11-2017 13:19:47
Svar/Indlæg:
382/14

#19 Siden er lavet i asp.net, da filtypen som bliver brugt er .aspx :)

ThomasK skrev d. 22-11-2017 12:53:59


Også derfor jeg linkede acme.sh til windows/iis :P