2015: Dags att börja använda HTTPS

Tråden skapades och har fått 16 svar. Det senaste inlägget skrevs .
1

Hej 99mac.

Jag har inte reflekterat över det förut - men er site använder inte HTTPs för inloggning. I de allra flesta fall innebär detta att lösenord skickas i klartext över internet. Bestämde mig för att sniffa trafiken mellan min webbläsare och er och mycket riktigt - er site skickar lösenordet i klartext när jag loggar in.

Det är nu år 2015. IT-säkerhet har varit mycket i medierna och framförallt då rörande okrypterade lösenord i databaser och att skicka lösenord i klartext. Är det inte dags att skaffa ett cert och slå på https för siten? Förutsatt att ni inte har en allt för avancerad cachestruktur bör det inte vara svårt att genomföra.

/hansfilipelo

Här är för övrigt ett otroligt bra projekt som hjälper er i frågan, förutsatt att ni kör Apache eller nginx på Linux:

https://letsencrypt.org/

  • Administratör
  • Rotterdam
  • 2015-07-22 12:27

@hansfilipelo: Det är tyvärr inte möjligt att aktivera HTTPS över hela siten eftersom att det blir för stora konflikter med tredjepartsmaterial, med allt vad det innebär. Det vore möjligt att aktivera det för bara vissa delar — något jag nyligen gjorde på 99macs systersite — och det skulle då kunna användas för att skydda just överföringen av lösenord. Det ger dock inget komplett skydd; eftersom att resten av laddningarna måste göras över vanlig HTTP kan en målmedveten angripare utnyttja det för att t.ex. komma över ditt sessionsid eller förändra sitens beteende på ett sådant sätt att du luras att avslöja lösenord. Det bästa man kan göra för att skydda sig är att använda unika lösenord på alla siter så att skadorna vid eventuella intrång minimieras.

Vad jag vill komma fram till är inte att det är en dålig idé, bara att det faktiska skyddet lätt upplevs som större än vad det kanske är. Anledningen till att det saknas är helt enkelt att det inte har funnits möjlighet att prioritera upp det än, men förhoppnings kan det göras framöver. Lösenord lagras naturligtvis alltid som hashsummor.

Kanon, tack för svar!

Ursprungligen av biberu:

@hansfilipelo: Det är tyvärr inte möjligt att aktivera HTTPS över hela siten eftersom att det blir för stora konflikter med tredjepartsmaterial, med allt vad det innebär. Det vore möjligt att aktivera det för bara vissa delar — något jag nyligen gjorde på 99macs systersite — och det skulle då kunna användas för att skydda just överföringen av lösenord.

Problemet med tredjepartsmaterial skulle kunna lösas genom att ha en separat inloggningssida utan annonser.

Ursprungligen av biberu:

Det ger dock inget komplett skydd; eftersom att resten av laddningarna måste göras över vanlig HTTP kan en målmedveten angripare utnyttja det för att t.ex. komma över ditt sessionsid eller förändra sitens beteende på ett sådant sätt att du luras att avslöja lösenord. Det bästa man kan göra för att skydda sig är att använda unika lösenord på alla siter så att skadorna vid eventuella intrång minimieras.

Att någon får tag i mitt sessions-ID på 99mac gör att de kan få access till mitt 99mac-konto och även ändra lösenord på detta - men däremot inte till mitt lösenord. Sessions-ID är alltså absolut inte lika kritiskt som lösenordet.

Att inloggningssidan är https ger dessutom ett skydd bara som sådant i att användaren kan se att siten skickas över https och att identiteten därmed är verifierad, och inte ge ut sitt lösenord i annat fall. Man kan också påpeka att 99mac:s inloggning sker över https med verifierad identitet på själva inloggningssidan, för att ytterligare uppmärksamma att de ej ska ge ut sitt lösenord till en site som inte nyttjar https och därmed inte verifierar sig som 99mac.se.

---------------

Allt ovan är rimligen ganska enkla åtgärder och jag kan tycka det är synd att en teknikinriktad som 99mac inte prioriterat den här frågan högre än att annonsera på inloggningssidan.

---------------

För egen del har jag genererade lösenord för alla tjänster och siter, men för de som inte har detta (läs merparten av era användare) är det av yttersta vikt att överföringen av lösenordet är krypterad.

  • Administratör
  • Rotterdam
  • 2015-07-22 13:24
Ursprungligen av hansfilipelo:

Problemet med tredjepartsmaterial skulle kunna lösas genom att ha en separat inloggningssida utan annonser.

Delvis, det kvarstår fortfarande problem med hur man skulle kunna utnyttja övriga requests.

Ursprungligen av hansfilipelo:

Att inloggningssidan är https ger dessutom ett skydd bara som sådant i att användaren kan se att siten skickas över https och att identiteten därmed är verifierad, och inte ge ut sitt lösenord i annat fall. Man kan också påpeka att 99mac:s inloggning sker över https med verifierad identitet på själva inloggningssidan, för att ytterligare uppmärksamma att de ej ska ge ut sitt lösenord till en site som inte nyttjar https och därmed inte verifierar sig som 99mac.se.

Rent hypotetiskt så misstänker jag att de flesta skulle fylla i sitt lösenord även på en okrypterad sida om överföringen kapats; dels är forumet knappast någon särskilt viktig tjänst för de flesta användare (jmf. siter som hanterar pengar) och används därför med förhållandevis låg gard, och dels finns det ingen vana att bekräfta identiteter i det sammanhanget (även om det som du säger skulle gå att informera om (försiktigt så att ingen blir skrämd av något upplevt hot istället)). Men det vore ju givetvis ett steg i rätt riktning.

Ursprungligen av hansfilipelo:

Allt ovan är rimligen ganska enkla åtgärder och jag kan tycka det är synd att en teknikinriktad som 99mac inte prioriterat den här frågan högre än att annonsera på inloggningssidan.

Jag gör vad jag kan och hinner...

Ursprungligen av biberu:

Delvis, det kvarstår fortfarande problem med hur man skulle kunna utnyttja övriga requests.

Visste inte att ni hämtade mer material från andra siter än annonser, av ren nyfikenhet från min sida - vad är det för material?

Ursprungligen av biberu:

Rent hypotetiskt så misstänker jag att de flesta skulle fylla i sitt lösenord även på en okrypterad sida om överföringen kapats; dels är forumet knappast någon särskilt viktig tjänst för de flesta användare (jmf. siter som hanterar pengar) och används därför med förhållandevis låg gard, och dels finns det ingen vana att bekräfta identiteter i det sammanhanget (även om det som du säger skulle gå att informera om (försiktigt så att ingen blir skrämd av något upplevt hot istället)). Men det vore ju givetvis ett steg i rätt riktning.

Som du säger - kan man vid normal inloggning uppmärksamma användaren på hur det ska vara så upptäcker förhoppningsvis många att saker inte står rätt till.

Ursprungligen av biberu:

Jag gör vad jag kan och hinner...

Ingen personlig kritik - som admin vet jag av erfarenhet att man brukar vara först att lyfta de här frågorna. Det mer att jag tycker många organisationer tar för lätt på säkerhetsfrågorna och säger att "man varit tvungen att prioritera annat" - detta samtidigt som man haft tid att lansera en ny version av siten utan att bättra säkerheten kring lösenordshanteringen.

Om din chef bett dig lösa den här frågan istället för att implementera nya funktioner är jag övertygad att du gjort just det. Skickar man lösenord i klartext ska användarna (jag exempelvis) helt klart ifrågasätta det, för nämn en funktion ni arbetar på i dagsläget som är viktigare?

  • Administratör
  • Rotterdam
  • 2015-07-22 13:53
Ursprungligen av hansfilipelo:

Visste inte att ni hämtade mer material från andra siter än annonser, av ren nyfikenhet från min sida - vad är det för material?

Jag menar att det inte räcker att bara kryptera vissa sidladdningar, du kan fortfarande attackera resterande överföringar på olika sätt. Än mer hypotetiskt så går det inte heller att anta att en sida vars resurser hämtats över HTTPS endast utför vad som avsetts.

Ursprungligen av hansfilipelo:

Ingen personlig kritik - som admin vet jag av erfarenhet att man brukar vara först att lyfta de här frågorna. Det mer att jag tycker många organisationer tar för lätt på säkerhetsfrågorna och säger att "man varit tvungen att prioritera annat" - detta samtidigt som man haft tid att lansera en ny version av siten utan att bättra säkerheten kring lösenordshanteringen.

Jag tror du överskattar organisationens storlek en aning, och lösenordshanteringen *har* förbättrats gentemot den förra versionen av siten.

Senast redigerat 2015-07-22 14:04
Ursprungligen av biberu:

Jag menar att det inte räcker att bara kryptera vissa sidladdningar, du kan fortfarande attackera resternade överföringar på olika sätt. Än mer hypotetiskt så går det inte heller att anta att en sida vars resurser hämtats över HTTPS endast utför vad som avsetts.

Korrekt confad webbserver med ett giltigt cert garanterar serverns identitet och skickar data krypterat (sen om den är hackad är det en annan sak). Övriga sidöverföringar skickar inte lösenordet (vilket vi redan tagit upp) så det är att jämföra äpplen och päron. Du måste inte ladda de sidorna över https.

Ursprungligen av biberu:

Jag tror du överskattar organisationens storlek en aning, och lösenordshanteringen *har* förbättrats gentemot den förra versionen av siten.

Är ni mindre än en person i organisationen?

Jag arbetar vid Linköpings Universitet på 25% tillsammans med en annan (vanligtvis två andra, men en annan har nu gått vidare och vi söker en till), detta vid sidan av våra studier (civ ing). Vi driftar system med 3100 användare, 40-tal klienter och ett 10-tal webbtjänster och vi har löst den här frågan vid våra inloggningar och har, så länge jag vet, aldrig lagrat lösenord i klartext. Jag vet att er organisation är större än vår. Bara ni som syns utåt i forumen på 99mac och SweClockers är fler än så.

Nu jämför jag såklart äpplen och päron men det jag vill säga är bara för att organisationen är liten är inte det en ursäkt till att skicka lösenord okrypterat när man har tusentals användare som använder tjänsten.

  • Administratör
  • Rotterdam
  • 2015-07-22 14:22
Ursprungligen av hansfilipelo:

Korrekt confad webbserver med ett giltigt cert garanterar serverns identitet och skickar data krypterat (sen om den är hackad är det en annan sak). Övriga sidöverföringar skickar inte lösenordet (vilket vi redan tagit upp) så det är att jämföra äpplen och päron. Du måste inte ladda de sidorna över https.

Den mest direkta attacken är givetvis att endast försöka avlyssna endast lösenordsöverföringen, men det är inte tillräckligt att kryptera bara dessa.

Ursprungligen av hansfilipelo:

...

Har avsett att ge insyn inte varför det inte finns än, inte lämna ursäkter, samt diskutera problematiken i allmänhet. Det är synd att det har missförståtts, men jag har noterat ditt önskemål.

  • Redaktör
  • Sollentuna
  • 2015-07-22 14:23
Ursprungligen av hansfilipelo:

Är ni mindre än en person i organisationen?

Jag tror att du redan vet det, men vi som syns utåt på 99mac (det vill säga jag och Jakob), vi är inte utvecklare och därmed till föga hjälp i sådana här frågor.

Jag menar verkligen inte att låta arg eller sur i tonen, jag försöker bara lyfta en fråga som är relevant för en stor mängd människor, i ett forum jag surfat till i över ett decennium

Ursprungligen av biberu:

Den mest direkta attacken är givetvis att endast försöka avlyssna endast lösenordsöverföringen, men det är inte tillräckligt att kryptera bara dessa.

Tillräckligt för vad? I min värld är det tillräckligt för att förhindra att lösenord läcker ut, såvida användaren är rätt informerad om att inloggning till 99mac sker via en server vars identitet garanteras av en rotcertifikatutfärdare (sen om användaren anger sitt lösenord på en site som inte är det - fine, ni gjorde vad ni kunde). Ni skickar troligen inte lösenordet i andra skeden än vid inloggningen.

Access till konto är ju som bekant != access till lösenord.

Ursprungligen av biberu:

Har avsett att ge insyn inte varför det inte finns än, inte lämna ursäkter, samt diskutera problematiken i allmänhet. Det är synd att det har missförståtts, men jag har noterat ditt önskemål.

Jag har inte missförstått dig, jag bara argumenterar för att antalet användare är det som är relevant i det här fallet, mer relevant än storleken på organisationen. Ni som organisation kan välja och har fortfarande valt vad ni vill prioritera i form av funktion kontra säkerhet.

Ursprungligen av Ida Lindkvist:

Jag tror att du redan vet det, men vi som syns utåt på 99mac (det vill säga jag och Jakob), vi är inte utvecklare och därmed till föga hjälp i sådana här frågor.

Väl medveten Ida. Jag använde bara ett exempel för att påvisa att organisationens storlek inte är relevant här - utan användarantalet.

edit: Förtydligade tredje stycket.

Senast redigerat 2015-07-22 15:38
  • Redaktör
  • Sollentuna
  • 2015-07-22 15:12
Ursprungligen av hansfilipelo:

Väl medveten Ida. Jag använde bara ett exempel för att påvisa att organisationens storlek inte är relevant här - utan användarantalet.

Bra bra, för vore jag ansvarig för säkerheten här vet jag inte hur saker och ting gått

Ursprungligen av hansfilipelo:

Tillräckligt för vad? I min värld är det tillräckligt för att förhindra att lösenord läcker ut, såvida användaren är rätt informerad om att inloggning till 99mac sker via en server vars identitet garanteras av en rotcertifikatutfärdare (sen om användaren anger sitt lösenord på en site som inte är det - fine, ni gjorde vad ni kunde). Ni skickar troligen inte lösenordet i andra skeden än vid inloggningen.

Access till konto är ju som bekant != access till lösenord.

Är intresserad av svar i den här fårgeställningen. Jag kan inte tänka mig ett annat tillfälle som användarens lösenord äventyras annat än vid inloggningen.

Jag skulle vilja lyfta den här frågan igen. Det känns inte ansvarsfullt att tusentals användares lösenord skickas i klartext, och särskilt då ingen förklaring till varför det är så ges.

  • Administratör
  • Rotterdam
  • 2016-05-08 21:05
Ursprungligen av hansfilipelo:

Jag skulle vilja lyfta den här frågan igen. Det känns inte ansvarsfullt att tusentals användares lösenord skickas i klartext, och särskilt då ingen förklaring till varför det är så ges.

Svaret är tyvärr samma än:
http://www.99mac.se/forum/p/2245438

Ursprungligen av biberu:

Svaret är tyvärr samma än:
http://www.99mac.se/forum/p/2245438

Det som länkas är en förklaring till att sessions-id (ofta kallat token) fortfarande kommer överföras via HTTP (antagligen i varje request). Det här är sub-optimalt men som jag tidigare påpekat är det långt mycket mer kritiskt att skydda lösenordet - eftersom många användare har samma lösenord hos flera tjänster.

Jag skulle vilja ha en förklaring till en av följande frågor:

  • Varför kan ni inte skydda lösenordet med hjälp av HTTPS?

  • Om det är möjligt att skydda lösenordet med HTTPS, vilket det antagligen är - vad har ni gjort sedan jag öppnade tråden som har högre prioritet?

  • Medlem
  • Göteborg
  • 2016-09-13 13:35

Om några månader blir det tydligare för Chrome-användare att inloggningen på 99mac inte sänds krypterad.

Citat:

Starting January 2017, Chrome 56 will label HTTP pages with password or credit card form fields as "not secure," given their particularly sensitive nature.

https://security.googleblog.com/2016/09/movin...

1
Bevaka tråden