MoP

Projekt: MoP
Megnyitotta Gomen-Tauri - 16.05.2017 10:29
Utoljára szerkesztette: Chris - 28.01.2018 12:09

FS#5654 - Login Biztonsag

Hello!

Nagyon fontos, hogy a felhasznalo login adatai ne legyenek titkositatlan szovegkent kuldve az interneten, igy a taurinak is van egy https-es login oldala, amit a mop-bug.tauriwow.com is hasznal.

Szoval akkor az osszes tauri login ezen keresztul megy, ugye? - Nem.

A http://tauriwow.com/ -on a bejelentkezesre kattintva titkositatlanul lesznek elkuldve a login adatok a http://tauriwow.com/sys/mod/login.php url-re, de a felhasznalo be tudja manualisan gepelni a https-t, ha tisztaban van a problemaval. Gondolom amikor a vip panelen meg kell erossiteni vasarlasnal akkor is ez van.

A http://forum.tauri.hu/ -ra egyaltalan nem lehet https-en bejelentkezni.

Screeneken mellekelem a tauri fo weboldalanak a NetworkTrace-et, hogy valoban http-n tortenik a login, majd Wiresharkal demonstralom, hogy a halozaton hallgatozva, vagy man-in-the-middle tamadassal hozza lehet jutni a felhasznalonevhez es jelszohoz titkositatlan formaban.

A szureshez az ip cimeket a
nslookup tauriwow.com
nslookup forum.tauri.hu
parancsokkal szereztem.

Valoszinu jo otlet lenne az egeszet atrakni https-re, mert ha a login titkositva is van, akkor is minden request melle fel kuldi a kliens a session id-t, ami a NetworkTrace-en lathato. Ezzel azonositja a szerver a kliens munkamenetet. Ha ezt lenyulja valaki, akkor a te nevedben hasznalhatja a weboldalt, mintha a geped elott ulne.

Jo Fejlesztest a tauri csapatanak es biztonsagosabb logint mindenkinek!
Gomen

   chromeTrace.png (1,3 megabájt)
   wireshark.png (64,5 kilobájt)
   tauriforum.png (175,7 kilobájt)
Lezárta  Chris
28.01.2018 12:09
A lezárása indoka:  Fixed
Neralan-Tauri commented on 27.05.2017 19:11

http://i.imgur.com/G3KLrgt.png ezt sem ártana fixelni

Lann-Tauri commented on 28.05.2017 19:08
Titleorgeci-Tauri commented on 24.06.2017 18:14

+

Admin
Chris commented on 18.08.2017 06:22

Nincs elfelejtve, csak vannak bizonyos korlátai annak, hogy “erőltetni” tudjuk a https-t. (Callback requestek pl OTP, SMS)
Az új fórumnál és oauth-nál már nem is enged http-t.
A következő lépcsőfok az, hogy a shoot-okat, static-ot át kell költöztetni *.tauriwow.com alá, ez hamarosan meg is fog történni.
Már bugtracker is elérhető https-sel. (Itt is forceolva lesz nemsokára :))

Tehát, még egy kis türelmet kérünk :)

Betöltés...

Available keyboard shortcuts

Hibajegy-lista

Task Details

Task Editing