Bedrijf dat inloggen via http aanbiedt hekelt Firefox-melding
Een beheerder van de website Oil and Gas International heeft tegenover Mozilla geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. De site biedt gebruikers namelijk een inlogformulier via http aan en sinds kort waarschuwt Firefox hiervoor.
Mozilla wil zo gebruikers beschermen en ervoor zorgen dat websites op https overstappen, zodat verstuurde gegevens zijn versleuteld. Op Bugzilla, de plek waar gebruikers en ontwikkelaars bugs in Firefox kunnen rapporteren, laat een beheerder van de website weten dat de melding van Firefox zonder zijn toestemming wordt getoond. De beheerder roept Mozilla dan ook op om de melding direct te verwijderen. "We hebben ons eigen beveiligingssysteem en zijn in meer dan 15 jaar nog nooit gehackt. De melding veroorzaakt zorgen bij onze abonnees en is schadelijk voor ons bedrijf", aldus de beheerder.
De bugmelding werd door iemand op Reddit opgemerkt. Niet veel later zou de database van de website via sql-injection in het inlogformulier zijn aangevallen, zo laat een andere lezer weten. In een reactie op de klacht stelt Mozilla dat websites die gebruikers via http laten inloggen de wachtwoorden van gebruikers in gevaar brengen, aangezien die onversleuteld worden verstuurd. In het geval van Oil and Gas International gaat het niet alleen om wachtwoorden, maar ook bij het versturen van creditcardgegevens wordt er geen gebruik van https gemaakt. De bugmelding is inmiddels niet meer zichtbaar.
Lol, ze draaien de boel weer om. En de motivatie ...is lachwekkend. Dia zijn vast allang gehacked maar hebben het niet gemerkt.
Wel is het lastig voor de gebruiker, omdat een nare wifi-beheerder (of andere lastiger uit te leggen luitjes) de naam wachtwoord kan afkijken, en later kan gebruiken.
Nog steeds geen probleem voor de website, wel voor de gebruiker.
Door dit zo luidkeels niet te snappen, vraagt de web-beheerder aandacht voor zijn website en onkunde, waarna het een hacker naar verluid lukte om een site, opgebouwd door een ...onkundige beheerder... te hacken.
internet vs beheerder 1:0
"Niet veel later zou de database van de website via sql-injection in het inlogformulier zijn aangevallen, zo laat een andere lezer weten.". Priceless!
a) dat kun je niet weten en b) dat kun je niet bewijzen.
Dat dit soort knurften vandaag de dag nog websites beheren, ongelofelijk.
SQL-injection heeft helemaal niets met https te maken. Die indruk wordt echter wel gewekt.
Tja, welke database wordt nu eigenlijk bedoeld? Die van Bugzilla, Reddit, of van die website waar geen https aanwezig is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
