sikkerhed - Meebox password - Udvikleren.dk - Programmering, webdesign og grafik

Tags: meebox sikkerhed kryptering

Bruger #17682 @ 12.11.13 19:17

Hej. Har oprettet mig hos meebox.

og ligger mærker til at under fanen skift password, skriver dit mit nuværende brugernavn og password.

Her bliver jeg jo lidt nervøs.

Er det ikke et sikkerhedshul, at de faktisk har mulighed for at vise mit nuværende password. burde det ikke være krypteret godt og grundigt. og være svært at dekryptere, selv for meebox?

MVH Morten

8 svar postet i denne tråd vises herunder
5 indlæg har modtaget i alt 13 karma

Sorter efter stemmer Sorter efter dato

Bruger #17401 @ 14.11.13 12:15

Hej Morten.

Der er ingen grund til at være nervøs. Det er kun dig, som der kan se dit kodeord til dine produkter. Det opbevares krypteret i vores database. :-)

- Patrick.

Bruger #11328 @ 14.11.13 19:44

1.323

Man bør *aldrig* på nogen måde kunne se passwordet i klartekst - om det så er bag login eller whatever, betyder det at passwordet er gemt i klartekst, eller i noget der kan omdannes til klartekst (krypteret klartekst). Et password skal hashes, så en potentiel intrængende der har fået fat i databasen *aldrig* vil kunne genskabe det egentlige password.

Stor sikkerhedsfejl.

Bruger #17401 @ 15.11.13 10:20

Rolig nu, gutter. Der er mening med galskaben. Lad mig starte med at slå én ting meget klart fast: Ingen passwords gemmes i klar-tekst i databasen!

Det system vi anvender til vores "Client Area" er det engelsk udviklede WHMCS-system, som i dag er ejet af cPanel.

Grunden til, at systemet kan vise et kodeord i Client Area er, at WHMCS anvender en af WHMCS egenudviklet hashingalgoritme og en krypteringsnøgle som er unik for den enkele installation. Efter signende bevogtes den på nogenlunde samme niveau som Coca Cola's opskrifter... Anyway, det betyder to ting. 1) at vores kunder via deres My Meebox (førnævnte Client Area) kan se deres password til deres cPanel og 2) at det kun er vores installation af WHMCS som kan de-hashe det.

I al almindelighed er jeg meget enig med Jakob Miland, men jeg håber også ovenstående forklarer hvordan det hænger sammen i denne sag.

Vh Anders Eiler,
Teknisk chef, Meebox

Indlæg senest redigeret d. 15.11.2013 10:20 af Bruger #17401

Bruger #17081 @ 12.11.13 20:01

1.258

Jow.

Bruger #17081 @ 14.11.13 19:17

1.258

Det er stadig ikke sikkert at have passwordet stående i ren form på nogen måde. Nogen steder.

Bruger #3427 @ 14.11.13 19:32

1.520

Det er stadig ikke sikkert at have passwordet stående i ren form på nogen måde. Nogen steder.

Hvis det kræver login for at tilgå siden, kan jeg ikke se problemet, det er da et større problem hvis de kodeord bliver sendt i en mail som klartekst.

Bruger #3427 @ 14.11.13 21:19

1.520

Når meebox skriver "dit kodeord til dine produkter" så antager jeg det ikke er hans kontrolpanel-login, men login til FTP/SQL ect.

Bruger #17610 @ 15.11.13 00:18

Man bør *aldrig* på nogen måde kunne se passwordet i klartekst - om det så er bag login eller whatever, betyder det at passwordet er gemt i klartekst, eller i noget der kan omdannes til klartekst (krypteret klartekst). Et password skal hashes, så en potentiel intrængende der har fået fat i databasen *aldrig* vil kunne genskabe det egentlige password.

Stor sikkerhedsfejl.

Jeg overvejede MeeBox, men pga ovenstående tråd (og andre) valgte jeg en anden udbyder. Det er ikke holdbart at man enten får tilsendt sit kodeord plain/text eller kan se det i "kontrolpanel". Det bør IKKE være muligt for begge parter!

Og en sidenote: MeeBox og andre bruger jo bare noget software, så som cPanel .. Men man kan jo sagtens bruge crypt()

*smil*

Indlæg senest redigeret d. 15.11.2013 00:44 af Bruger #17610

Meebox password

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler