De Britse supermarktgigant Tesco blijkt niet alleen slecht met de wachtwoorden van klanten om te gaan, ook de veiligheid van de website is een puinhoop. Software architect en Microsoft MVP Troy Hunt ontdekte eerder al dat de wachtwoorden niet gehasht en gesalt worden opgeslagen. Er blijkt echter nog veel meer mis met de website van Tesco te zijn, wat één van de grootste supermarktketens ter wereld is.

Zo beschikt het domein secure.tesco.com niet over een geldig SSL-certificaat, terwijl de supermarktketen juist hier laat weten dat het veilig is om via de website online te shoppen. Verder wordt er naar oude browsers gerefereerd, gaat de website na het inloggen via HTTPS terug naar HTTP, mogen wachtwoorden niet langer dan 10 karakters zijn en wordt er geen onderscheid tussen hoofdletters en normale letters gemaakt.

Leermomentje
Daarnaast ontdekte Hunt dat ook de server verkeerd geconfigureerd is en Tesco een zeer oude webserver en framework gebruikt. Webontwikkelaars kunnen dan ook verschillende dingen van de puinhoop bij Tesco leren, zo merkt Hunt in deze analyse op.

Zoals het hashen van wachtwoorden, cookies alleen over HTTPS versturen, geen beperking aan wachtwoord entropie stellen en ervoor zorgen dat de basis beveiligingsinstellingen goed geconfigureerd zijn.