Abuse Melding

Je hebt een klacht over de onderstaande posting:

30-03-2017, 12:28 door Anoniem

Door Briolet: Hoewel ik bij "Logins entered on this page could be compromised" dan wel een beetje dubbel gevoel krijgt: hoezo 'could', waar hangt dat dan van af? Dat hangt er misschien vanaf of er geen andere codering van het wachtwoord gebruikt wordt? Deze browsers kijken alleen naar de verbinding en niet hoe de inlog gebeurd. Ik ken forums waar je via http inlogt, maar het wachtwoord aan de cliënt zijde versleuteld wordt, dan met de session ID gesalt en weer versleuteld wordt, waarna de ontstane hash verstuurd wordt. Bij een beetje goede versleuteling heeft een aanvaller niets aan de onderschepte hash en is de inlog toch nog redelijk veilig. In elk geval veilig genoeg voor een forum. Als je de JS code van de "Oil and Gas International" site bekijkt, wordt daar het WW wel in plaintekst verzonden. In jou voorbeeld is de kans groot dat een aanvaller slechts het SessionID hoeft te clonen voor session-hijacking en dan de hash of het wachtwoord zelf niet nodig heeft. 'Sterk geconfigureerde HTTPS' ...

Beschrijf je klacht (Optioneel):

captcha