Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: NewsSubmit

c@oc2000.myweb.nl">oc2 schrijft: "Ik was net de logbestanden van mijn homepage aan het nakijken via een online tracker en klikte op een referer url van een bezoeker aan mijn page. Hierdoor kwam ik op een ILSE/Dolfijn gebruiker zijn online email page en was gelijk ingelogd en kon dus ook de email lezen."

oc2 stuurde ons ook de link waarmee hij deze fout ontdekt heeft en een simpele klik was voldoende om de email te lezen. De fout is inmiddels gemeld bij Ilse/Dolfijn.

Moderatie-faq Wijzig weergave

Reacties (23)

Een simpele uitbreiding op de beveiliging is te realiseren door een ipadres aan een session-id te koppelen. Evt. zou je ook nog het exacte browser type kunnen loggen. Dan heb je de kans op misbruik al een heel stuk verkleind. Alleen mensen die een proxy gebruiken, lopen dan nog een verhoogd risico...
En tegenwoordig gebruikt er natuurlijk bijna niemand een proxy :P
In Hotmail heb je de optie uit te loggen voordat je verder gaat surfen.....stuk veiliger.
Op zich maakt het niet uit dat het met je querystring wordt verzonden...
Wat je wel zowiezo in zo'n situatie moet gebruiken is een session variable die gekoppeld is aan je querystring session variable... Heb je altijd een timeout en knappe jongen die er dan nog in kan komen..
Ben zelf veel bezig met ASP(vbscript) en IIS 5 en dit is koud kunstje om te implementeren... Is dus pure nalatigheid geweest...
Nou, ik moet zeggen : dit is wel hl knullig... dan heeft het wachtwoord van dat account dus op de n of andere manier in die referrer-URL gestaan !
de url bestond uit de loginnaam plus een wazige sessionkey
dolfijn.ilse.nl/loggedin/?gotomail=0;login=naam;sessionkey=key
Oh... Dat valt dan op zich weer mee, ik neem aan dat die sessionkey maar een beperkte tijd geldig is. Maar toch, het is wel een beetje knullig.
Dat hadden ze bij ilse makkelijk kunnen voorkomen door een referrer uit de headers te halen en die dan te checken tegen een waarde welke het had moeten zijn (en niet van buitenaf komend), op die manier kan je eenvoudig voorkomen dat mensen in je sessions gaan lopen hacken
officeel is een dommein naam tog alleen voor bedrijven dacht ik, of stichtingen/instanties, sterker nog als jij niet ingeschreven bent bij de KvK kan jou ieder domain name afgenomen worden.,.... (mits tegenhangende partij wel KvK o.i.d in bezit heeft..)


ik gebruikte heel vroeger dolfijn :}
toen ik nog op me l33t 33k6 en op account van me broer zat te internetten

long long time ago =)
Als jij een domeinnaam hebt geregistreerd van .com .net of .org dan wens ik iedereen
die dat domein probeert af te pakken van jou
veel succes..

je moet wel kunnen aantonen dat je het voor een hobby of wat ook heb geregistreerd...je moet niet handelsnamen gaan wegkapen..

ik zelf ben de eigenaar van zo'n 15 domeinnamen die ik allemaal gebruik en nog nooit geen problemen mee gehad.
Tegenwoordig is het wel mogelijk om je .com/.net/.org terug te eisen. De ICANN heeft hiervoor een speciale stichting voor opgericht die beslist of het domein wel of niet eigendom van je is.
Ik ben dit al een keer eerder tegengekomen:
in het lijstje statistiekjes van een Nedstat Basic teller staan onder het kopje "Vanaf welke URL kwamen de laatste 25 bezoekers?" links. Er stond een keer bij de teller van de homepage van iemand die ik ken een link naar de webmaster account bij zijn hosting provider (webprovider.com), dus ik klikken: ja hoor, ik kreeg gewoon de beheer-pagina van die provider ervoor, kon het wachtwoord wijzigen en alle bestanden wegvagen. De link bij Nedstat was op dat moment al een uur of 7 a 8 oud.
Dat vind ik dan raar, want volgens mij slaat Nedstat wel de URL op maar niet de query-string (dus achter de ?, iets wat mij toch wel normaal lijkt bij een beheerpagina).
Daarom sla ik hem altijd op in een cookie...
Je moet hem dus NOOIT opslaan in een cookie. Als er dan een of ander script kiddie op je pc is geweest en zoekt ff op de bekende cookie's van Dolfijn/Ilse, dan vind hij een schat aan informatie over jouw als gebruiker :'(

Daarom kun je dat beter alleen doen als je een goede up-to-date firewall gebruikt. En als je die ook regelmatig checkt op inconsistentie.

Wat je natuurlijk ook kunt doen is je computer niet meer met het internet verbinden, dan weet je zeker dat er geen script-kiddie's opkomen, en heb je geen firewall meer nodig.

Maar als je gebruik wilt maken van Dolfijn ... |:(
Zo heel goed ben ik niet met CGI, maar al die info in de url wordt vanaf het FORM op de pagina van de POST-methode doorgegeven aan het cgi-script, zodat deze weet wat te doen. Nu weet ik niet wat het nadeel is van de GET-methode (info apart opsturen ipv in url c-p'en), maar zo kun je iig niet via een URL iemands mail zien...

BTW, kan zijn dat ik post en get omdraai ;)
je draait post en get idd om. Ik gebruik bij perl altijd post en bij php altijd get :)
Maar zoals je ziet kan het in deze gevallen beter gepost worden
dit is al tijden zo... je kon daar ook altijd inloggen door je mailbox te bookmarken...

maarja... dat was wel makelijk maar is ook weer niet veilig
nou das dan lekker.. ik vind ut zowiezo niks.. tegenwoordig bieden iedere website zon gratis emailadres aan.. is ook lekker makkelijk en gratis te doen voor die webmasters bij bijv.. www.outblaze.com en www.everyone.net

nadeel is dat andere bedrijven denken het zelf te kunnen maken en die vervolgens er een slechte beveiliging op na houden.....

ik hou het gewoon bij hotmail.. als ik al een gratis emailadres uberhaupt nodig zou hebben :P
beetje tweaker heeft volgens mij wel minimaal 1 domeinnaam geregistreerd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True