- Státusz Lezárva
- % kész
- Hibajegy típusa Feature Request
- Kategória NO FLAG
- Felhasználó hozzárendelése Senki
- Rendszer All
- Súlyosság kritikus
- Prioritás Normál
- Jelentett változat 1.0
- Esedékesség határozatlan
-
Esedékesség időpontja
határozatlan
-
Szavazatok
51
- Sphynxx-Tauri (05.01.2018)
- Rugoramirez-Tauri (31.08.2017)
- Lîfe-Tauri (21.07.2017)
- Alarus-Tauri (20.07.2017)
- Koson-Tauri (16.07.2017)
- Athielle-Tauri (15.07.2017)
- Líghtníng-Tauri (10.07.2017)
- Onyxynn-Tauri (06.07.2017)
- Gurjin-Tauri (27.06.2017)
- Shutdownnow-WoD (24.06.2017)
- Graveh-Tauri (19.06.2017)
- Bloodelement-Tauri (16.06.2017)
- Demynnfire (14.06.2017)
- Thriona-Tauri (13.06.2017)
- Ragingbunny-Tauri (13.06.2017)
- Desec-Tauri (10.06.2017)
- Holabugom-WoD (28.05.2017)
- Exelcis-Tauri (27.05.2017)
- Oizys-Tauri (27.05.2017)
- Rury (22.05.2017)
- Exithheck-Tauri (22.05.2017)
- Meatmincer-Tauri (19.05.2017)
- Step-Tauri (18.05.2017)
- Orih-Tauri (17.05.2017)
- Zenghar-WoD (17.05.2017)
- Kek (16.05.2017)
- Allerien-Tauri (16.05.2017)
- Humanf-Tauri (16.05.2017)
- Francis-Tauri (16.05.2017)
- Blinterqt-Tauri (16.05.2017)
- Xon-Tauri (16.05.2017)
- Infidel-Tauri (16.05.2017)
- Picsavadász-Tauri (16.05.2017)
- Mallon-Tauri (16.05.2017)
- Smoch-Tauri (16.05.2017)
- Sasszem-Tauri (16.05.2017)
- Orsforizs-Tauri (16.05.2017)
- Vielian-Tauri (16.05.2017)
- Mushu-Tauri (16.05.2017)
- Quester-Alaris (16.05.2017)
- Ähito-WoD (16.05.2017)
- Molgana-Tauri (16.05.2017)
- Osseric-Tauri (16.05.2017)
- Klotyomanus-WoD (16.05.2017)
- Redmyst-WoD (16.05.2017)
- Liaire-Tauri (16.05.2017)
- Cølossus-WoD (16.05.2017)
- Ahree-Tauri (16.05.2017)
- Xeoni-Tauri (16.05.2017)
- Gomen-Tauri (16.05.2017)
- Purplemist-Tauri (16.05.2017)
- Privát
Megnyitotta Gomen-Tauri - 16.05.2017 10:29
Utoljára szerkesztette: Chris - 28.01.2018 12:09
FS#5654 - Login Biztonsag
Hello!
Nagyon fontos, hogy a felhasznalo login adatai ne legyenek titkositatlan szovegkent kuldve az interneten, igy a taurinak is van egy https-es login oldala, amit a mop-bug.tauriwow.com is hasznal.
Szoval akkor az osszes tauri login ezen keresztul megy, ugye? - Nem.
A http://tauriwow.com/ -on a bejelentkezesre kattintva titkositatlanul lesznek elkuldve a login adatok a http://tauriwow.com/sys/mod/login.php url-re, de a felhasznalo be tudja manualisan gepelni a https-t, ha tisztaban van a problemaval. Gondolom amikor a vip panelen meg kell erossiteni vasarlasnal akkor is ez van.
A http://forum.tauri.hu/ -ra egyaltalan nem lehet https-en bejelentkezni.
Screeneken mellekelem a tauri fo weboldalanak a NetworkTrace-et, hogy valoban http-n tortenik a login, majd Wiresharkal demonstralom, hogy a halozaton hallgatozva, vagy man-in-the-middle tamadassal hozza lehet jutni a felhasznalonevhez es jelszohoz titkositatlan formaban.
A szureshez az ip cimeket a
nslookup tauriwow.com
nslookup forum.tauri.hu
parancsokkal szereztem.
Valoszinu jo otlet lenne az egeszet atrakni https-re, mert ha a login titkositva is van, akkor is minden request melle fel kuldi a kliens a session id-t, ami a NetworkTrace-en lathato. Ezzel azonositja a szerver a kliens munkamenetet. Ha ezt lenyulja valaki, akkor a te nevedben hasznalhatja a weboldalt, mintha a geped elott ulne.
Jo Fejlesztest a tauri csapatanak es biztonsagosabb logint mindenkinek!
Gomen
http://i.imgur.com/G3KLrgt.png ezt sem ártana fixelni
http://i.imgur.com/lQyQwKX.gif
+
Nincs elfelejtve, csak vannak bizonyos korlátai annak, hogy “erőltetni” tudjuk a https-t. (Callback requestek pl OTP, SMS)
Az új fórumnál és oauth-nál már nem is enged http-t.
A következő lépcsőfok az, hogy a shoot-okat, static-ot át kell költöztetni *.tauriwow.com alá, ez hamarosan meg is fog történni.
Már bugtracker is elérhető https-sel. (Itt is forceolva lesz nemsokára :))
Tehát, még egy kis türelmet kérünk :)