Vefstjori.is geymir lykilorð

[Gúrú]

Vinnur einhver hérna hjá Eldsmiðjunni eða hverjum sem hannaði pantanakerfið/vefsíðuna þeirra?

Trúði ekki eigin augum þegar ég fékk almenna lykilorðið mitt sent í SMSi þegar ég notaði Gleymt Lykilorð.

Ef einhver sem getur lagað þetta sér þetta:
1. Ekki geyma lykilorð, geymið hösh af söltuðum lykilorðum
2. Ekki geyma lykilorð, geymið hösh af söltuðum lykilorðum
3. Ekki geyma lykilorð, geymið hösh af söltuðum lykilorðum

Tuttugu og fimm mínútur í pizzuna og eflaust eitthvað aðeins meira en það í að einhver compromisi vefþjóninum og
endurvekji nauðsynlega umræðu um það hversu fáránlega vanþróuð íslensk fyrirtæki eru í netöryggismálum.

[zedro]

Þú ert væntanlega búinn að senda þeim tölvupóst?
Eða hringja í þá?

[Hjaltiatla]

Spurning um að senda póst á it@foodco.is og láta vita, þeir eru allavegana skráðir fyrir léninu skv Isnic.

[KermitTheFrog]

Já sniðugra að láta þá vita en að auglýsa þetta á opnu spjallborði.

[Black]

http://plaintextoffenders.com/" onclick="window.open(this.href);return false;

Hér er síða sem heldur utanum svona.

[rango]

Gæti verið að þú hafir óvart fengið lykilorðið þitt sent aftur í pósti?

Sorglegt allt.
http://panta.eldsmidjan.is/eldsmidjan/a ... e=%27FIXIT" onclick="window.open(this.href);return false;

[Klemmi]

Gæti verið að þú hafir óvart fengið lykilorðið þitt sent aftur í pósti?

Sorglegt allt.
http://panta.eldsmidjan.is/eldsmidjan/a ... e=%27FIXIT" onclick="window.open(this.href);return false;

[rango]

http://panta.eldsmidjan.is/eldsmidjan/a ... 7x%27=%27x" onclick="window.open(this.href);return false;
Spurning hvort að þessi linkur sendi lykilorð á alla notendur.
Spurning hvort að klár kall gæti ekki gert set email = email@email.com og fengið öll lykilorðin afhent?

Enn allavega að reka þann sem datt í hug að þetta væri i lagi og ráða til sín einhvers sem kann að gefa ekki öllum lykilorð.

Edit: Klemmi akkúrat myndinn sem ég var með í kollinum þegar ég skrifaði þetta.

[intenz]

Þetta er hræðilegt.

[Sallarólegur]

Já sniðugra að láta þá vita en að auglýsa þetta á opnu spjallborði.

Mikið er ég ósammála. Töluvert meiri líkur á því að þetta verði tæklað ef þetta er auglýst. Þetta er ekki í lagi.

[capteinninn]

Já sniðugra að láta þá vita en að auglýsa þetta á opnu spjallborði.

Mikið er ég ósammála. Töluvert meiri líkur á því að þetta verði tæklað ef þetta er auglýst. Þetta er ekki í lagi.

We thank you for your concern in notifying us of this error.

Og ekkert meira svo, hefur maður ekki séð það oft áður?

[Sallarólegur]

Já sniðugra að láta þá vita en að auglýsa þetta á opnu spjallborði.

Mikið er ég ósammála. Töluvert meiri líkur á því að þetta verði tæklað ef þetta er auglýst. Þetta er ekki í lagi.

We thank you for your concern in notifying us of this error.

Og ekkert meira svo, hefur maður ekki séð það oft áður?

Haha nákvæmlega.

Þessi síða er skólabókardæmi um ófagmennsku. Ég myndi reyndar gefa henni 7 í einkunn ef þetta væri vefsíðunámskeið fyrir 7.bekk grunnskóla.

Afhverju er léninu redirectað á http://panta.eldsmidjan.is/eldsmidjan/menu.php" onclick="window.open(this.href);return false; ?
Afhverju er titill síðunnar "Menu"?
Afhverju er ekkert Favicon?
Afhverju eru engin og: tög fyrir samfélagsmiðla?

Facebook

Capture.JPG (35.85 KiB) Skoðað 4029 sinnum

[Daniel123]

Sælir

Við hjá Vefstjóri.is höfum séð um þetta verkefni og hefur það vaxið töluvert hratt hjá okkur. En ekki var í uppahafi horft til að geyma neinar upplýsingar á bak við notendur heldur en að viðkomandi geti gengið frá pizza pöntun án þess að slá inn nafn og þær upplýsingar aftur og aftur. Það má að sjálfsögðu alltaf gera betur og stefnum við að því í góðu samstarfi við Eldsmiðjuna.

Enn og aftur takk fyrir, þetta eru allt góðar ábendingar en ástandið er tímabundið þar sem ölll virkni á bak við innskráningu og nýskráningu hefur verið endurskrifuð og er á leiðinni í loftið, þá dettur út þessi lykilorðavirkni. Ég skal setja inn tilkynningu hér þegar það gerist. Það verður gott að fá álit ykkar líka þá, en flest þessara atriði og mörg fleiri hafa þá verið fært til mun betri vegar.

Bestu kveðjur,
Daniel.

[Klemmi]

En ekki var í uppahafi horft til að geyma neinar upplýsingar á bak við notendur heldur en að ............ Enn og aftur takk fyrir, þetta eru allt góðar ábendingar en ástandið er tímabundið þar sem ölll virkni á bak við innskráningu og nýskráningu hefur verið endurskrifuð og er á leiðinni í loftið.

Það er flott að koma hér inn og útskýra hlutina, en rosalega finnst mér skrítið að reyna að gera svona lítið úr mistökunum og láta eins og það sé ekkert við ykkur að sakast þar sem þetta sé nú bara tímabundið fiff og ekki í samræmum við upphaflega kröfu- og virknilýsingu, í staðin fyrir að viðurkenna bara mistökin og segja að það hafi gleymst að spá í þessu/ykkur hafi ekki verið þetta ljóst.

Er öryggisleysi í lagi, svo lengi sem það er einungis tímabundið?

[rango]

Við hjá Vefstjóri.is höfum séð um þetta verkefni og hefur það vaxið töluvert hratt hjá okkur. En ekki var í uppahafi horft til að geyma neinar upplýsingar á bak við notendur heldur en að viðkomandi geti gengið frá pizza pöntun án þess að slá inn nafn og þær upplýsingar aftur og aftur.

Annað hvort geymið þið gögn eða ekki, Í þessu tilfelli voruð þið ekki eingöngu að geyma lykilorð í plaintext heldur voruð þið líka ekki að spá í öryggi vefsins.

Get ég þá gengið útfrá því að vefstjori.is hafi forritað þennan vef og ákveðið a setja hann í loftið með þessum göllum?
Eða var það ákvörðun eldsmiðjunar að vefurinn færi í loftið þrátt fyrir þessa veikleika?
Þið hljótið að hafa vitað af þessu þar sem þetta eru gríðarlega beisik hlutir að feila á, Og ef ekki þá er spurning um hæfni vefstjori.is til að forrita vefi yfirhöfuð.

lykilorð email og símanr allt geymt í plaintext með gáttirnar opnar að sql,
Hvað ef þessi vefur væri kominn með 1000 notendur, Hversu mörg prósent ætli noti sama lykilorð og á tölvupóstinn sinn?

Þið getið ekki gert lítið úr þessu.

[Gúrú]

Sælir

Við hjá Vefstjóri.is höfum séð um þetta verkefni og hefur það vaxið töluvert hratt hjá okkur. En ekki var í uppahafi horft til að geyma neinar upplýsingar á bak við notendur heldur en að viðkomandi geti gengið frá pizza pöntun án þess að slá inn nafn og þær upplýsingar aftur og aftur. Það má að sjálfsögðu alltaf gera betur og stefnum við að því í góðu samstarfi við Eldsmiðjuna.

Enn og aftur takk fyrir, þetta eru allt góðar ábendingar en ástandið er tímabundið þar sem ölll virkni á bak við innskráningu og nýskráningu hefur verið endurskrifuð og er á leiðinni í loftið, þá dettur út þessi lykilorðavirkni. Ég skal setja inn tilkynningu hér þegar það gerist. Það verður gott að fá álit ykkar líka þá, en flest þessara atriði og mörg fleiri hafa þá verið fært til mun betri vegar.

Bestu kveðjur,
Daniel.

Ég fékk enga viðvörun né tilkynningu um að ég væri að skrá mig á byrjunarútgáfu af kerfi sem færi
ekki eftir almennum öryggisstöðlum og væri gerð af ófagfólki sem að teldi að slíkt væri einu sinni ásættanlegt í byrjunarútgáfu.

Shiiiet, ef ég hef fyrir því að checka, mun ég sjá að þessi innskráningarreitur posti yfir HTTP en ekki HTTPS?
Þarf ég einu sinni að checka? Er það ekki frekar augljóst að hann mun ekki heldur fylgja almennum öryggisstöðlum?

Ef að einhver brýst inn í kerfið eða ósáttur starfsmaður (eða einhver labbar framhjá vefþjóninum ykkar) tekur gagnagrunninn
þá er hann kominn með fullt nafn, símanúmer, kennitölu, heimilisfang og lykilorð í notkun hjá hverjum einasta einstakling skráðum.

Þið hjá Vefstjori.is eruð gjörsamlega vanhæfir. Hvort það er jafn tímabundið og risastóra fuckupið ykkar veit ég ekki.

[Frantic]

Sælir

Við hjá Vefstjóri.is höfum séð um þetta verkefni og hefur það vaxið töluvert hratt hjá okkur. En ekki var í uppahafi horft til að geyma neinar upplýsingar á bak við notendur heldur en að viðkomandi geti gengið frá pizza pöntun án þess að slá inn nafn og þær upplýsingar aftur og aftur. Það má að sjálfsögðu alltaf gera betur og stefnum við að því í góðu samstarfi við Eldsmiðjuna.

Enn og aftur takk fyrir, þetta eru allt góðar ábendingar en ástandið er tímabundið þar sem ölll virkni á bak við innskráningu og nýskráningu hefur verið endurskrifuð og er á leiðinni í loftið, þá dettur út þessi lykilorðavirkni. Ég skal setja inn tilkynningu hér þegar það gerist. Það verður gott að fá álit ykkar líka þá, en flest þessara atriði og mörg fleiri hafa þá verið fært til mun betri vegar.

Bestu kveðjur,
Daniel.

Ég fékk enga viðvörun né tilkynningu um að ég væri að skrá mig á byrjunarútgáfu af kerfi sem færi
ekki eftir almennum öryggisstöðlum og væri gerð af ófagfólki sem að teldi að slíkt væri einu sinni ásættanlegt í byrjunarútgáfu.

Shiiiet, ef ég hef fyrir því að checka, mun ég sjá að þessi innskráningarreitur posti yfir HTTP en ekki HTTPS?
Þarf ég einu sinni að checka? Er það ekki frekar augljóst að hann mun ekki heldur fylgja almennum öryggisstöðlum?

Ef að einhver brýst inn í kerfið eða ósáttur starfsmaður (eða einhver labbar framhjá vefþjóninum ykkar) tekur gagnagrunninn
þá er hann kominn með fullt nafn, símanúmer, kennitölu, heimilisfang og lykilorð í notkun hjá hverjum einasta einstakling skráðum.

Þið hjá Vefstjori.is eruð gjörsamlega vanhæfir. Hvort það er jafn tímabundið og risastóra fuckupið ykkar veit ég ekki.

Ég held að þetta sé í fyrsta skipti sem ég les eitthvað eftir Gúrú sem ég er sammála.
Þetta er gjörsamlega óásættanlegt.
Skil ekki hvernig svona fúskarar lenda svona verkefni hjá þekktu fyrirtæki.
Hlýtur að vera einhver klíkuskapur.

[ASUSit]

Vefinn á náttúrulega að mínu viti að taka niður án tafar. Án tafar.

[Gúrú]

Vefinn á náttúrulega að mínu viti að taka niður án tafar. Án tafar.

Harði diskurinn með þessum gögnum á að vera formataður af Vefstjori.is. Núna.

Þar næst á að fara upp einfölduð static vefsíða með tilkynningu (og matseðli et cetera)
og tölvupóstur sendur út með þeirri sömu tilkynningu um að öll lykilorð sem notuð hafa verið á þessari vefsíðu/afskræmi ættu að vera talin í hættu og breytt ef þau eru í notkun annars staðar.

Sömuleiðis eiga Vefstjori.is að gera sömu ráðstafanir fyrir allar vefsíður sem þeir halda úti. "Þeir hjá Vefstjóri.is" sýndu rétt í þessu að þeim er ekki treystandi fyrir starfi sínu.

Það er eitt að gera mistök en það er allt annað að gera allt rangt. Frá upphafi til enda.

Frá því þeir ákváðu að setja þetta afskræmi á internetið og brjóta á trausti viðskiptavina og þar til þeir héldu að það væri góð
málamiðlun að "Setja inn tilkynningu" þegar þeir kæmust að því að fylgja almennum öryggisstöðlum.

Fuck this.

[krat]

er hún hýst hjá vefstjori.is? og dns hjá 1984.is ?

[Daniel123]

Sæll Klemmi og Rangó

Þetta hefur þá ekki komið alveg rétt út úr mér áðan. En jú við tökum sannarlega fulla ábyrgð á þessum vef er varðar þróun hans. Vil alls ekki gera lítið úr þessu, vildi bara meina að við vissum af þessu og þetta stendur til bóta. Við höfum brugðist strax við og lokað fyrir þar sem þessi galli hefur áhrif í bili þar til nýtt og betra kerfi tekur við.

Varðandi lykilorð geymd í cleartext. Þá er það ekki alveg rétt, en þau eru geymd dulkóðuð og svo afkóðuð þegar notendur óska eftir að fá þau send. En það má að sjálfsögðu gera það mun betur og nota einhvern oneway hashing algorithma.

Varðandi: "Get ég þá gengið útfrá því að vefstjori.is hafi forritað þennan vef og ákveðið a setja hann í loftið með þessum göllum?"
Jú þú getur gert það. Varðandi gallann þá byrjaði þetta eingöngu með Facebook skráningum og lykilorðamöguleikinn bættist við síðar, þess vegna tala ég um að þetta hafi verið tímabundið. En engu að síður þá máttum við vanda okkur betur þarna.

Kv
Daniel

[Daniel123]

Sæll Gúrú,

Eins og áður sagði varðandi að lykilorðin séu í cleartext þá er það ekki alveg rétt, en þau eru geymd dulkóðuð og svo afkóðuð þegar notendur óska eftir að fá þau send. En það má að sjálfsögðu gera það mun betur og nota einhvern oneway hashing algorithma.- Enda er sú lausn til og í prófunum og fer í loftið innan skamms. Þangað til er lokað fyrir þessa möguleika.

Varðandi gögnin í grunninum þá geymum við engar kennitölur og höfum aldrei gert.

Þessi vefur er í stöðugri þróun, þið komuð auga á galla sem við vorum að vinna í að laga. Því miður nær þessi umræða ekki lengra. Þetta spjallborð er oft mjög fróðlegt og skemmtilegt en það nær engri átt að hrauna yfir okkur fram og til baka því að hér séu einhverjir sem telji það vera mögulegt að hakka sig inn á gagnagrunninn eða að lykilorðin ættu að vera betur dulkóðuð.

Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

Kv
Daniel.

[Gúrú]

Varðandi lykilorð geymd í cleartext. Þá er það ekki alveg rétt, en þau eru geymd dulkóðuð og svo afkóðuð þegar notendur óska eftir að fá þau send. En það má að sjálfsögðu gera það mun betur og nota einhvern oneway hashing algorithma.

Það heitir að geyma þau í plaintext.

Hvað heldurðu, að einhver sem komist í gagnagrunninn komist ekki líka í lykilinn til að afkóða þau?

Má ég fá símanúmer hjá þér til að geta útskýrt þetta fyrir þér?

Þú ert að fara að formata þessi gögn og þar með lykilorðið sem ég treysti ykkur fyrir. Það er nákvæmlega ekkert annað ásættanlegt í stöðúnni en það sem ég taldi upp í fyrri póstinum mínum.

Þetta er t.d. sama lykilorð og er á þennan notanda á þessari vefsíðu. Ekki það að það sé sniðugt af mér en bara sem dæmi um það hversu fáránlega stöðu þú ert að setja fólk í því óafvitandi.

Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.

Ég mun gera það að sérstöku verkefni að láta alla viðskiptavini (og mögulega framtíðarviðskiptavini) ykkar vita af því hvernig þið hagið ykkar málum.

[Daniel123]

Sæll Gúru

Endilega hringdu 546 4000

kv
daniel

[krat]

http://nibbler.silktide.com/en_US/reports/eldsmidjan.is" onclick="window.open(this.href);return false;

http://quirktools.com/screenfly/#u=http ... h=480&a=33" onclick="window.open(this.href);return false;

meh.